cpe.rmutt.ac.thcpe.rmutt.ac.th/comnet/_Computer_Network/2551-2/Pres… · Web viewบทที่...

บทท 2การโจมตเครอขาย

2.1 บทนำาความแนนอนของขอมลตองควบคไปกบความปลอดภยและ

ความนาเชอของระบบและเครอขาย ในบทนเนอหาโดยรวมแลวจะกลาวถง ปญหา, ศพทเฉพาะทาง และเทคนค ทเกยวของกบความปลอดภยของเครอขาย การรกษาความปลอดภยของเครอขายประกอบดวย (ก.) กระบวนการเขาส เครอขายเพอรกษาความปลอดภยใหกบเครอขาย (ข.) วางระบบการปองกนและกลไกการปองกนเพอปกปองการคมคามระบบความปลอดภย (ค.)จดเตรยมกลไกลการตรวจจบเพอระบการโจมตความปลอดภยอยางรวดเรวและประสบความสำาเรจ (ง.) จดตงนโยบาย กระบวนการ และเทคนคการตอบโตการโจมต เราสามารถศกษาแบบรวบรดไดในบทน ในหวขอท 2.2 จะอธบายถงการสอสารผานเครอขายและโจมตระบบความปลอดภยไดอยางไรและอธบายถงบรการรกษาความปลอดภย หวขอท 2.3 กลไกทถกใชในการปกปองเครอขายจากการโจมตระบบความปลอดภยหรอปองกนการโจมตทกรปแบบในทนไดอธบายถง Firewall และการเขารหสโปรโตคอล การตรวจจบการบกรกการตดตามจะอยในหวขอท 2.4 และกลไกการตอบโตจะพจารณาอยในหวขอท 2.5

2.2 โจมตเครอขายและการปองกนโดยรวมแลวนน เนอหาในบทนจะกลาวถง การสอสารขามเครอ

ขายและอธบายลกษณะการโจมตบางอยางซงจะแสดงตวอยางวาระบบความปลอดภยมผลกระทบอยางไรกบเครอขาย2.2.1 การสอสารผานเครอขาย

เปนความรในการวเคราะหในระดบทสงมาก Host สองเครองบนอนเทอรเนตจะเชอมตอซงกนและกนอยางไรเพอใหเขาใจวธการโจมตทเกดขนบนเครอขาย อยางไรกตามเราไมไดมงไปทการอธบายโปรโตคอลจากมมมองการเชอมตอ (เชนประสทธภาพ,ความนาเชอถอและอนๆ)หรอรายละเอยดทงหมด โปรดสงเกตวาอะไรบอกถง จดมงหมายของหนงสอเลมนนนมไดมงใหทานสามารถอธบายไดถงมาตรการตาง ๆ ทกำาหนดขนมาเพอใหตดตอสอสารหรอโอนยายขอมลไดระหวางเครองคอมพวเตอรจากผลกระทบของการสอสาร (Protocol) เชนเดยวกบ เนอหาดานลางทอธบายนนเปนเพยงตวอยางทมความสอดคลองกบตวอยางทเกดขนเทานน แตกยงมกรณยกเวนหลายประการทสามารถเกดขนไดในการสอสารบนโลกอนเทอรเนต

ตวอยางเชน โปรแกรม Client ของเครองคอมพวเตอร A บนเครอขาย P ตองการทจะเชอมตอกบตวโปรแกรม Server ของเครองคอมพวเตอร B บนเครอขาย Q Client และ Server จะทำาการประมวลผลตามลำาดบ โปรแกรม Client จะสรางขอมลซงจะสงไปใหสแตคโปรโตคอล ถงชน transport layer จากนนชน transport layer จะเพมขอมลลงในโครงสรางการทำางานการสราง segment ซงจะสงตอไปยงชน network layer ชดขอตกลงและมาตรการสำาหรบใชในการสอสารระหวางคอมพวเตอรมาตรฐานหนง (The transmission control protocol: TCP) และ โปรโตคอลใน transport layer ทใชในชดโปรโตคอล (User datagram protocol: UDP) เปนปจจยหลกสองประการในการสงขอมลทแบบเปนชน เซกเมนต transport layer สรางนำาหนกของวงจรเครอขายแพคเกตและดาตาแกรมนนจะอยท internet layer ดาตาแกรมนนยาวมากลำาเลยงผานในสายโมเดมหรอ MAC ทมลกษณะเปนชน ๆ ในแตละโครงสรางการเชอมโยงระหวางแมขาย A แ

ละ B เชน อนเทอรเนต และ WiFi ซงการเชอมโยงแตละครงกจะมลกษณะตางกนออกไป

Transport layer นนถอวาหมายเลขพอรท (Port Number) จะถกระบในกระบวนการของ Host A ใชสญลกษณแสดงหมายเลขพอรทคอ PA Host A จะมไอพอยทเครอขาย P ซงสามารถเขยนสญลกษณแทนดวย ทเพล <PA, IPA> ซงบางครงถกวาเรยกวา Socket จะเปนตวระบตวเดยวของกระบวนการ Client ทตงใจจะเชอมตอกบกระบวนการของ Server ในทำานองเดยวกน กระบวนการ Server จะตดตอกบหมายเลขพอรท PB และไอพ IPB การเชอมตอ client และ server สามารถเขยนสญลกษณแทนดวย ทเพล <PA, IPA, PB, IPB> ในสวนของ transport layer segment จะประกอบดวยเฮดเดอรทบรรจพอรทตนทาง PA และพอรทปลายทาง PB IP datagram มเฮดเดอรซงบรรจไอพตนทาง IPA และไอพปลายทาง IPB

แนนอนวาเมอ Host B อยบนเครอขายอน การเชอมตอ Physical Layer กเปนไปไดทจะใชตางกนไป ดงนนเครองรบปลายทางของ MAC address จงไมไดเปนสวนหนงของ Host B แตเปนสวนหนงของเกตเวย และ เราเตอร ทเชอมตอกบเครอขาย P ถงเครอขายอน ๆ หรออนเทอรเนต การตดตงหมายเลขไอพของเกตเวยนนสามารถตงระบบโดยอตโนมตบน Host A ไดและสามารถใชหมายเลขไอพของเกตเวยได หรอ Host A จะทำาการตดตงโดยใช (DHCP) คอโปรโตคอลทใชในการแจกจายไอพให Host ภายในเครอขาย อยางไรกตาม เมอ MAC address มความจำาเปนตอเฟรมเพอยอมรบโดยเกตเวย ความสมพนธระหวางหมายเลขไอพทมตอ MAC address นนสามารถรองรบการใชโปรโตคอล ARP เหมอนกบเมอเฟรมสงมายงเกตเวยจากอนเทอรเนตถงแมขายบนเครอขาย Q เกตเวยจะใช ARP ในการจำาแนก MAC address ของแมขายเครองรบปลายทาง เกตเวยมหนาทในการจดเสนทาง

หมายเลขไอพทรองรบ MAC frame ถงเราเตอรอน ๆ บนอนเทอรเนต ซงสรางสถานในระบบขายการสอสารของพาธทเหมาะสมถงเครอขายเครองรบปลายทาง Q พาธจะกำาหนดการใชวธจดเสนทางสารสนเทศผานเราตงโปรโตคอล เชนrouting information protocol (RIP), open shortest path first (OSPF), และborder gateway protocol (BGP) เมอ Host A สามารถหาเลขทอยไอพของ Host B ในการใช

ระบบชอโดเมน (DNS) ไดสำาเรจแลว Host A และหมายเลขชองทาง PA จะสงขอมลถง Host B และหมายเลขพอรท PB และ Host A ทราบหมายเลขพอรท PB ไดอยางไร แตละโปรแกรมมาตรฐานจะมเลขหมายพอรทตางกนออกไป ตวอยางเชน หมายเลขพอรท web server ใชหมายเลข 80, telnet server ใชหมายเลข 23 , SSL ใชหมายเลข 443, SMTP ใชหมายเลข 25 และอน ๆ อกมากมาย หมายเลขพอรทอาจเปลยนแปลงไปเมอการตดตอเรมขนเหมอนกบในกรณเดยวกบโปรโตคอล เชน FTP หรอ Skype ถงแมหมายเลขพอรทนนจะสามารถทราบไดแตกไมไดแสดงใหเหนไดโดยอตโนมตในหมายเลขพอรทอน ๆ เชน หมายเลขพอรทสามารถรนตวบรการเวบทหมายเลขพอรทอน ๆ มากกวา 80

บรการบนเซรฟเวอร “listen”การตดตอเรมตนจาก Client ทหมายเลขพอรทมาตรฐานซงเรยกวาพอรท “open” เมอแพคเกตจาก Server A มายง Server B หนงแพคเกตนนจะสงไปยงสแตคโปรโตคอลถง Transport Layer ท Server ทรอการรองขอทหมายเลขพอรท PB รบขอมลโปรแกรมในเซกเมนต transport layer Server จะจดขอมลใหเหมาะสมและสงไปยง Clientท หมายเลขพอรท PA ทจะทราบโดยแพคเกตทไดรบมากอนแลว

ภาพท 2.1 แสดงภาพงายของโปรโตคอลและแอพพลเคชนหลายตวทเชอมตอกนอยางงาย ๆ ทใชในกนในเครอขายการสอสาร

ปจจบน เปนทรจกกนโดยทวไปวาเปนโปรโตคอลและแอพพลเคชนสวนยอยทใชกน บางทโปรโตคอลเหลานสามารถกอปญหาความปลอดภยขนไดเพราะโปรโตคอลเหลานบางคนสามารถนำามาใชในทางทผดไดโดยไมคดถงความเสยหายทเกดขนได

รปท 2.1ปญหาความปลอดภยนนเกดขนไดจากหลายสาเหต แตสาเหต

ทวไปนนคอ การท Server อยในสถานะ Listening ทพอรททรจกเกดขอบกพรองในการทำางาน สำาหรบตวอยางมนเปนไปไดสำาหรบลกษณะเฉพาะของการโจมตเพอใหแพคเกตนนสงไปท Buggy service ได เมอบรการถกเชอมตอได มนจะสามารถเปดใหผโจมตควบคม Host ซงผโจมตสามารถตดตงโปรแกรมทเปนอนตรายไวเปน Host ขโมยไฟลของ Host นน ๆ หรอ Host อน ๆ บนเครอขายทตกอยในอนตรายได ดงเชนตวอยางตอไปน2.2.2 ตวอยางการโจมตความปลอดภย

การเตบโตของการทำางานอาชญากรรมทางไซเบอรขนาดใหญไดเปลยนโจมตระบบความปลอดภยจากพวกมอสมครเลนเปนองคกรอาชญากรรมทอนตรายกวาซงอาจทำาใหเกดความเสยหายทางเศรษฐกจ ในหวขอนไดอธบายถงการโจมตความปลอดภยโดยเฉพาะซงจะนำาไปสการอธบายการโจมตระบบความปลอดและบรการความ

ปลอดภยในหวขอถดไปดวย เราจะไมจดรายการของการโจมตอยางละเอยดแตมการเกบตวอยางเลกนอย เวบไซตของ US-CERT (United States Computer Emergency Readiness Team) เปนแหลงขอมลทดสำาหรบอธบายการโจมตความปลอดภยและระบบการปองกน TCP SYN Flood Attack

TCP เปน transport layer protocol ทใชโดย application layer protocol มากมาย เชน HyperText Trasfer Protocol (HTTP) และ FTP TCP ถกออกแบบมาเพอสรางความนาเชอถอกบเซอรวสของ network layer จดหาอนเทอรเนตโปรโตคอล TCP คอ การสอสารโดยระบตำาแหนงและดแลคณภาพ บฟเฟอร, วนโดวส, และอน ๆ อกมากมายรวมถง count segments และ track lost segments เมอ host A ตองการเชอมตอกบ host B การเชอมตอแบบ three-way handshake จะเกดขนเพอเรมการสอสาร อนดบแรก host A จะสง TCP segments และ SYN flags ไปยง host B (SYN flags เปนหนงใน 6 flags ซงใชในการประสานจงหวะ บต ใน TCP เพอบอกถงขอมล) host A ทำาการเชอมตอแบบ Handshake ดวย TCP segments และ ACK flags จากนนจงเรมการสงขอมล เมอไรกตามท host ไดรบ SYN segments จาก client SYN segments จะเขาทำาลายทรพยากร เชน หนวยความจำา กอนทการสงขอมลจะสำาเรจลง และเนองจากท server มทรพยากรทจำากดซงตงคาของจำานวนการเชอมตอทสามารถทำาไดไว การเรยกขออนๆจะถกยกเลก ผโจมตสามารถใช “feature”เพอยกเลกบรการ server ทถกตองใหเครอง host โดยการสง SYN segments ถง server ซงอาจจะปลอมไอพตนทาง server จะโตตอบดวย SYN – ACK segments และรอใหการเชอมตอแบบ handshake สำาเรจ สงทไมเคยเกดขนในระหวางนน ขณะเดยวกน การรองขอทถกตองกจะถกยกเลก การจโจมเชนนเรยกวา SYN Flood Attack ซง

เปนตนเหตของการปฏเสธตวใหบรการเวบ server ชอดงหลายตวในไมกปมาน แตเดมนนผโจมตสรางขนมาในโปรโตคอลการเชอมตอเพอเรมตนกระบวนการ Dos การขาดการยนยนของไอพตนทางทำาใหยากทหยดมน เชนนนมนจงยากทจะแยกการรองขอทถกตองออกจากการรองขอทเปนอนตราย เชนเดยวกบ ICMP และ โปรโตคอลอน ๆ ทสามารถถก floods ไดซงเปนผลทมาจาก Dos การแยกประเภทการจโจมแบบ DDos นนเพงจะเปนพาดหวขาวบนเวบไซดชอดงหลายเวบไซดในไมกปมานรวมทงการโจมตบน DNS Server การแบงประเภทของการจโจม DDos นนสามารถดไดจาก Mirkevic และ Reiher

Address Spoofing and Sequence Number Guessing Attacks

หลายหนวยงานใชไอพหรอชอ Server ในการเขาถงระบบ สงทจะอธบายตอไปนเปนวธการงาย ๆ ท ผโจมตใชเขาถงแพคเกต การปลอมแปลงไอพนนไมสำาคญเทากบการปลอมแปลงชอ Server จากตวอยางทเกดขนแลวมการปลอมแปลงไอพและสงแพคเกตเพอเขาถงสวนแรกสดของ Server เพราะมการจโจมหลายรปแบบทำาใหไอพนนไมเพยงพอตอการปลอมแปลง ดงนนจงมความจำาเปนตองอาศยการสม Sequence Number ของโปรโตคอลอน ๆ ทอยในแพคเกตอนเทอรเนตโปรโตคอล เชนเดยวกบ TCP และ DNS กรณเดยวกบทไดยกตวอยางขางตนในการอธบายเกยวกบ TCP three – way handshake ทง client และ server เปนสวนหนงของการเชอตอแบบ handshake ทใชตวเลขอนดบแรกเพมขนในการตอบรบทราบ ถาไอพทไดปลอมแปลงแลว ผโจมตกจะทำางานเสมอนเปน server ให client เชอวาเขากำาลงเชอมตอกบ server จรง ๆ ผโจมตนนจำาเปนตองคาดเดาลำาดบหมายเลขจาก Server ทงนเพราะวา Server ของ SYN – ACK segments นนสงใหกบไอพ ดวยเหตน Server

จงอาจไมโตตอบผโจมต หมายเลข Server เปนหมายเลขทถกสมขนมาเพอใหยากตอการคาดเดา อยางไรกตาม จากการท TCP เปดโอกาสใหผโจมตสามารถคาดเดารหสจาก Server ไดโดยงายนนถอวาเปนการกระทำาทบกพรองอยางมาก เชนเดยวกบการปลอมแปลง DNS requests ซงสามารถสรางความเสยหายตอ DNS cache ไดในกรณท Sequence Number สามารถเชอมโยงตอ DNS requests ได

Worm Attack (การโจมตดวย Worm)Worm เปนซอฟแวรทสามารถแพรจำานวนดวยตวเอง โดย

การเขาถงแมขาย, เซอรวส trapdoors keyboard sniffer, หรอ กจกรรมทเสยงตออนตราย เมอ Worm ตดตงบน host หนงแลวกจะมองหา host อน ๆ เพอจะตดตง Worm และขยายจำานวนตอไป กลาวคอ Worm จะสง แพคเกตไปยงหมายเลขพอรทไปทไอพ ถาบรการอยในสถานะ “Listening” จะทำาใหหมายเลขพอรทนนมโอกาสเสยงตอการถกโจมต Worm สามารถใชความไมมนคงในการตดตงตวเองบน host ตวอยาง ในเดอนกรกฎาคม พ.ศ. 2544 web server ไดสงการ IIS และพบวาปญหาบฟเฟอรมบญหามาก นอกจากนขอบกพรองดงกลาวบาง Server กไมไดสงการให IIS แกไขแตอยางใด Code Red หรอ รปแบบท 2 ของ Worm สรางไดความเสยหายเพมและมยอด Server ทไดรบความเสยหายทวทงอนเทอรเนตแลวอยางนอย 350,000 Server

การแพรจำานวนของ Worm นนขนอยกบรปแบบของ Worm เชน อตราท Worm ตรวจหา Server เพอขยายจำานวน หรอ Server ทยงไมไดโจมต รวมถง จำานวน Server ทใชซอฟตแวรเถอนและอตราการทำาความสะอาด วธท Worm ใชสำาหรบเลอก Serve เพอเขาโจมตนนวธแพรจำานวนมอทธพลตอการเลอกดวย Worm จะสมเลอกไอพตรวจหาจดออน กลาวคอ ไอพอาจจะไมไดอย

ทงท Serve r ทมอยและ Server ทไมไดสงการระบบ ดงนน การแพรกระจายจำานวนของ Worm จงควบคมได และยงม ชน hard-coded ของหมายเลขไอพทสามารถตรวจสอบได หมายถง Server ทไดรบผลกระทบอาจจะตรวจสอบถง Server ทไดรบผลกระทบอน ๆ ได

ปจจบนน Worm พฒนาขนมาก Worm คนหาไอพของเครอขายขางเคยงกอนหรอใชเครองมอคนหาทางอนเทอรเนตคนหา Server ทไมมนคง อยางไรกตาม เครองมอคนหาทางอนเทอรเนตจะแสดงผลเชนเดยวกนหมด การแพรจำานวนของ Worm สามารถทำาไดโดยใช e-mail และการเขา address book ของ Server ทม Worm ตดตงอย แตกอนนนการคนหาประโยชนและความเสยงทเกบไวไมสามารถทำาไดอยางรวดเรวและมใหเหนอยางทวไป เรยกวา “zero – day” ความสามารถของ zero – day ตวอยางเชน สามารถทำาให Worm สามารถปลอยออกมาในวนเดยวกนไดซงจะพบในบรการทไมมนคง ซงมนเปนไปไมไดเลยทจะแกไขไดทนเวลา การใช Worm จงเปนวธทแพรกระจายทเรวมากPhishing , Evil Twin , และ Pharming

Phishing เปนตวอยางหนงของการโจมตระบบความปลอดภย ทผใชถกลวงเปดเผยขอมลเชนการเขาใช , รหสผาน หมายเลขบตรเครดต และอนๆ โดยการทำาใหผใชเหลานนเขาไปในเวบไซตทดเหมอนปกตทวไปแตในความเปนจรงแลวเปนเวบไซตทถกสรางขนมาเพอใชในการโจมต ผใชจะเขาไปในเวบไซตนนๆโดยการคลกลงคทมอยในอเมล การทำาลายระบบโดยการ Phishing น กอใหเกดการสญเสยทางการเงนเชนธนาคารหรอเวบไซตธรกจออนไลนตางๆเชน Paypal หรอ eBay

เมอไมนานมาน มลกษณะทพเศษกวาโจมตระบบแบบ Phishing ทเรยกวา Evil Twin ซงเกดขนจากการเขาสระบบ WiFi ทตดตงในสถานทตางๆ เชนรานกาแฟ โรงแรม เปนตน ซงจะอยใกลเคยงกบบรเวณทมการใหบรการอนเตอรเนตครอบคลมทไดรบอนญาตทวไป เมอ

ผใชบรการพยายามเชอมตอ หรอ เขาสระบบซงตดตงโดยเวบไซตของผโจมต ซงจะมลกษณะเหมอนเวบไซตทไดรบอนญาตทวไป และมกจะพบเหนไดงาย ซงงายตอการหลงเชอใสรหสบตรเครดต หรอขอมลตางๆลงไปในหนาเวบเหลานน และ ผโจมต จะสามารถเขาไปดงขอมลเหลานนได

Pharming เปนการโจมตระบบความปลอดภยทอนตรายมาก เนองจาก DNS สามารถถกใชคนหาไอพทเชอมตอดวยชอโดเมน อยางในกรณของ Pharming น DNS cache สามารถทำาอนตรายดวยการเขาทไมเปนจรงเพอใหผใชเหนเวบไซตปลอมจากการใชงานเดมอาจกอใหเกดอนตรายไดซงจะสรางหนาเวบขนมาเอง และผใชคดวาเปนเวบไซตทไดรบอนญาตทวไป จงใส URL ลงไปใน browser DNS ทถกเกบไวกอใหเกดอนตรายไดเมอ Name Server ตดตงระบบซอฟแวรทถกทำาลายระบบไดงาย ซงสามารถเขาไปในระบบไดโดยไมตองใช DNS ซงการทำาลายระบบความปลอดภย Phishing นจะทำาใหผใชถกเปดเผยขอมลเพอ หวงผลประโยชน

2.2.3 การโจมตระบบความปลอดภย บรการ และสถาปตยกรรม

เราไดเหนตวอยางของการทำาลายระบบความปลอดภยตางๆ เชน การยกเลกการบรการ การปลอมแปลงขอมล Worm และ social engineering วธการหนงทจะจำาแนกการทำาลายระบบความปลอดภยตางๆไดนนคอการพจารณาสวนตางๆไมวาจะเปนลกษณะของ Passive หรอ Active ในกรณของการทำาลายแบบ Passive นนผโจมตจะไมเขาไปแทรกแซงขอมล ทงการถายโอนหรอจดเกบ เชนการลกลอบตอสายดกสญญาณขอมล (eavesdropping ) ซงทำาใหยากตอการตรวจจบ จงเปนเรองสำาคญทจะตองปองกน สวนการทำาลายแบบ Active นน เชน การหาผลประโยชนโดยการใชรหสผานหรอ รหสบญชของผอน (masquerading ) ซงจะรวมทงการแทรกแซงขอมล และเขาไปเปน

สวนหนงโดยผโจมตถงแมวาจะยากตอการปองกนแตกควรมการตรวจหาและกำาจดใหเรวทสดเทาทจะทำาได

การทำาลายระบบความปลอดภยมหลายประเภทไดแก eavesdropping การลอบฟงขอมล และการเปดเผยขอมล interrupting การเขาไปขดขวางการทำางานปกต masquerading คอการเขาไปแทรกแซงและปลอมแปลงใหเปนลกษณะทถกกฎหมายเพอเขาสระบบ และ fabrication คอการสรางขอมลขนใหมโดยมจดประสงคเพอทำาลาย ซงจะแตกตางจากแบบอนๆ การโจมตระบบความปลอดภยนนมกจะไมเกดขนในครงแรก แตการใชหนาเวบของผโจมตในครงแรกนนจะนำาไปสการตกเปนเหยอไดไมวาจะเปนจากแหลงขอมล ,ไอพ , และอนๆ ซงบางครงจะเรยกวาการสำารวจขอมลกอน จากนนผโจมตจะพยายามดดขอมลซงจะดเหมอนไมมอนตรายแตอยางใด แตถาขอมลเหลานนถกเปดเผย จะสงผลกระทบถงความปลอดภยและตามดวยการถกโจมตทางเครอขายไดงาย เชน การลกลอบขอมล การนำาขอมลไปใช เปนตน

บรการรกษาระบบความปลอดภยโดยทวไปทจะปกปองระบบความปลอดภยเปนไปตามคำาจำากดความ รกษาความลบ ความนาเชอถอ ความซอตรง เปนทยอมรบ และอยในสภาพพรอมใชงาน เปนความลบหมายความวาขอมลตางๆจะถกเกบไวเปนความลบจากผอนโดยเฉพาะผโจมต ในสวนของการไดรบการรบรองนนมความจำาเปนในการตดตอสอสาร เพอใหเกดวามมนใจตงแตการเรมสนทนากบคสนทนาวาเปนใคร นนหมายถงตองแนใจวา ผโจมต จะไมเขาไปรวมในการสอสารนนๆ และ เพอความมนใจหลงจากการสอสารสนสดลง วาผโจมตไมไดดดขอมลหรอเขาไปแทรกแซงใดๆ ซงในสวนนเรามกเรยกวา message authentication ซงเกดจากการรวมกนระหวางความนาเชอถอ และ การเปนทยอมรบไดโดยทวไป อยางในกรณของการตดตอสอสารทวไปนนจำาเปนตองมความมนใจวาสารทไดนนไมมการดดแปลง สรางขนใหม หรอ มบางสวนถกตดออกไป และอกสวนคอการเปนทยอมรบไดโดย

ทวไป ซงการใหบรการเกยวกบระบบความปลอดภยนน ถามผใดผหนงสงสาร นนหมายถงสารนนๆตองเปนทยอมรบไดโดยไมตองสรางขนใหม และสดทายคอ อยในสภาพพรอมใชงาน การใหบรการรกษาระบบความปลอดภยนน จะตองมนใจวาระบบความปลอดภยนนสามารถใชงานไดตลอดเวลาและทนทวงท

บรการรกษาความปลอดภยแตละชนดนนอาจจะไมไดมคณสมบตครบถวนทงหมด แตกตางกนตามโปรโตคอล , โปรแกรมทรองรบ และสวนประกอบบางครงกระบวนการในการสรางเครอขายเชนการใช Firewall กมความจำาเปนตองมนใจในระบบความปลอดภยดวย 2.3 การดแล และการปองกน

ในสวนนเราไดใหความสำาคญกบการดแลและการปองกนการทำาลายระบบความปลอดภยซง 2.3.1 คอ Firewall และ การกำาหนดขอบเขตระบบความปลอดภย 2.3.2 คอ Cryptographic Protocols (โปรโตคอลการเขารหส)

2.3.1 Firewall และการกำาหนดขอบเขตระบบความปลอดภย

เพอเปนการปองกนอนตรายจากการเขาสระบบเครอขาย โดยทวไปเรามกจะใชระบบ Firewall ซงในสมยกอนหมายถง กำาแพงหนาๆ ททำาจากอฐบลอก สรางขนเพอปองกนไฟลกลามจากทหนงไปยงทหนง Firewall ในปจจบน หมายถง ฮารดแวร , ซอฟแวร และ ระบบทจะปองกนการกระจายตวของการทำาลายระบบความปลอดภยเขาสเครอขาย หรอ Host ซงการทำาลายเหลานมหลายประเภทและเกดขนจากโปรแกรมทเปนอนตรายกระจายเขาสระบบเครอขาย ถาโปรแกรมเหลานสามารถจำาแนก และกำาจดไปไดกจะงายตอการรกษาความปลอดภยของเครอขาย ในรป 2.2 แสดงถงหลกการทำางานของ Firewall

รปท2.2อยางไรกตามไมใชเรองงายเลยทมนจะสามารถจำาแนกแตละโปรแกรมอนตรายไดอยางถกตองตลอดเวลา ดงภาพ Firewall ไดรบการตดตงอยระหวางสวนใน และสวนนอก แนนอนวาสวนทอยภายในตองการไดรบการปกปอง คำาวา Firewall นน หมายความไดหลายอยางในปจจบน ตงแต simple packet filter คอโปรแกรมกรองขอมลแบบงายๆ ไปจนถง การปองกนระบบทซบซอนขน ซงสามารถตรวจสอบแตละโปรแกรมไดดกวา และสามารถสรางขนมาใหมเพอเปรยบเทยบแตละโปรแกรมสำาเรจรปไดอกดวย

Packet filter โปรแกรมกรองขอมล เปนชนดททำางานไดงายทสดของระบบ Firewall จะทำาหนาทกลนกรองหรอตรวจสอบ แตละโปรแกรมสำาเรจรปหรอ เพกเกจทจะเขามา หรอ ออกไป ซงใชหลกการ manual ซงไมสามารถผานเขา-ออกไดโดยอตโนมต Packet filter จะไมรองรบ หรอ ยกเลกทนท ซงหมายความวาถาเพกเกจใดไมสามารถยอมรบหรอทำาตามความตองการของกฎทตงไวเพอใหผานไปยงสวนในไมได กจะถกยกเลกทนท แตละเพกเกจนนจะไดรบการพจารณาโดยปราศจากขอมลของเพกเกจอนเกา หรอเพกเกจอนใหม ทำาให Packet filter สามารถทำางานไดอยางรวดเรวและสามารถควบคมอตราขอมลไดสง หลกการทำางานทซบซอนกวา คอจะกรองขอมลไดเรวกวา และทำางานนอยกวา คอ ตามมาตรฐาน ACL (access control lists ควบคมการเขาถง) หลกการของ Packet filter นนใชเพยงไอพ เทานน ซงจะงายตอการตรวจทานแตละเพกเกจหรอโปรแกรมสำาเรจรปทใชไอพปลอมมาไดอยางชดเจน หรอ แพคเกตใดๆทไมสามารถสอสารกบขอมลทอยสวนในได เชนแพคเกตไอพ ทมาจากสวนนอกทไมสามารถระบไอพ ได,

loopback (การทดสอบขอผดพลาด) ไอพทแสดงมายง Host สวนใน อยางไรกตามมาตรฐาน ACL กไมสามารถปองกนแพคเกตหรอโปรแกรมสำาเรจรปทระบ Host สวนในทชดเจนได หรอแพคเกตทเขากนไดกบโปรโตคอล นอกจากน ACL ยงยอมให Packet filter หรอโปรแกรมกรองขอมล ตรวจไอพตนทางและไอพปลายทาง, หมายเลขพอรท TCP ,UPD และ ตวบงช TCP เพอทจะตดสนใจวาจะใหโปรแกรมสำาเรจรปนนผานเขาไปไดหรอไม ซอฟแวร Firewall แบบอนๆ และฮารดแวรกมมาตรฐาน ACL เทาเทยมกนในการตรวจสอบแตละเพกเกจ

หลกการทใชในโปรแกรมแยกขอมลหรอ Packet filter นนเมอพจารณาแลวนำาไปสการสรางโปรแกรมทสามารถแกปญหาความผดพลาดของคอมพวเตอรไดดงตอไปน วธการหนงทจะแกไขปญหานได ซงรจกกนดวา dynamic packet filter หรอ stateful firewall ซงสรางขนโดยอาศยหลกการสงผาน โดยสนนษฐานวา Host ทอยสวนในนนเชอถอได เมอเราสงโปรแกรมสำาเรจรปเพอเปดการเชอมตอ กบ Host ทอยสวนนอก stateful firewall จะใชหลกการสงผานทยอมใหโปรแกรมสำาเรจรปจาก Host สวนนอกเขามาใน Host สวนในได พรอมกบเลขหมายพอรทนนๆ ซงหลกการดงกลาวจะถกตดออกหลงจากการเชอมตอสนสดลง หลกการนจะชวยลดจำานวนรหสปลอม และทำาใหผโจมตเดาไดยากวาแพคเกตใดทจะโดนกำาจดออกไปได

โปรแกรมกรองขอมล Packet filter ยงคงทำางานไดไมเตมทถายงมหลายชองทางทกอใหเกดความผดพลาด เชน การสงผานของแพคเกตแตละสวน ในการตดสนใจวาแพกเกตใดทถกสรางขนโดยปกต จำาเปนจะตองทดนำาหนกขอมลของโปรแกรมนนๆ ซงบางครงกมความจำาเปนตองสรางขอมลโปรแกรมขนมาใหม อาจเปนไดท Proxy firewall ไดใชไปแลวซงมนจะประกอบดวย Host ทมความแขงแรง (มกจะเปนค) ซงจะชวยลดจำานวนโปรแกรมยอยๆ (module) ของโปรแกรมได เมอ Host ภายในทำาการเชอมตอกบสวนนอก ทำาใหเกดการเชอมตอ(TCP)

กบ Proxy firewall ทนท จากนน Proxy firewall จะทำาการเชอมตอกบ Host ดานนอก ดงนนจงมการเชอมตอเกดขน 2 จด Host ทอยสวนนอกเทานนทจะมองเหน Proxy firewall ได โดยไมรวาม Host ภายในตวอนๆทตดตงอยดวย เมอแพคเกตนนถกสงกลบ จะทำาใหเกดการสรางสแตคโปรโตคอล ซงโปรแกรมจะสรางขอมลใหม ถาขอมลเหลานนเปนขอมลทไดรบอนญาต กจะถกสงไปยง Host สวนใน นอกจากนผโจมตจะสามารถรบรขอมลไดเพยงนอยนดตลอดระยะเวลาการตรวจสอบ เพราะวา Host ภายในยงไมสามารถเหนสวนนอกไดชดเจน อยางไรกตาม Proxy firewall ยงคงทำางานไดยาก เพราะไมอาจรองรบโปรแกรมในหลายๆรปแบบได

วธการจดการเกยวกบระบบคอมพวเตอร สามารถเทยบไดกบขอดของ Proxy firewall และยงมการดำาเนนการทนาเชอถออกดวย วธหนงททำากนทวไป คอการตรวจจบภายในจากภายนอก โดยใชโปรแกรมแยกขอมล หรอ packet filter เครองเดยวหรอหนงเครองขนไป ในภาพ 2.3 ตวอยางเชน packet filter A ยอมให แพคเกตจากดานนอกเขามาอยในพนท P เพอจะไปถงตว web server หรอ mail server ซงเกอบทกชนดจะสามารถเขามาใน server นได เราเรยกวา DMZ (Demilitarizes Zone) ซงเปนจดทไมมการตรวจจบใดๆ ถาม router อย กจะไมแจงไปยงดานนอก วามเครอขายภายในอย เชนเดยวกนกบ packet filter B จะยอมใหแพคเกตจากทง web server และ mail server เขามาภายใน ไดโดยอยระหวาง R ดงนนเครอขายภายในจะทำาการตรวจจบจากดานนอก

สงเกตไดวา Packet filter ยงสามารถใชระงบแพคเกต จากสวนในทจะออกไปได ตวอยางเชน พนทระหวาง S และ Q ในภาพ 2.3 ซงอาจมความจำาเปนในกรณทHost ภายในนนเปนอนตรายและเปนฐาน

โจมต หรอ Host พยายามทจะเขาสระบบบรการโดยไมไดรบอนญาต

รปท 2.3ปจจบนน Firewall เปนไดมากกวาโปรแกรมกรองขอมลท

ทำางานงายๆ เพราะสามารถรกษาสถานะขอมลได สามารถทำาการโหลดขอมลไดอยางสมดล (ถาใช Firewall หลายตว) สามารถตรวจสอบนำาหนกขอมลได ตรวจจบการโจมตโดยใชแฟมพเศษทใชเกบขอมล ดแลการทำางานของเครองคอมพวเตอรหรอใชหลกการวเคราะหระบบ และยงสามารถแสดงเปนจดสนสดของการเชอมตอไปยงผใชทตองการเชอมตอไปยงสวนใน ตวอยางเชน Firewall ในปจจบน สามารถเปนตำาแหนงสดทายกอนการเชอมตอไปยงเครอขายสวนตว (VPN) โดยใช IPSec หรอ SSL ซงใชการเขาหสเพอปองกนผใชภายนอกจากการเชอมตอไปยงสวนใน ซงเราจะมาพจารณาในเรองโปรโตคอลการเขารหส (Cryptographic Protocols)

2.3.2 โปรโตคอลการเขารหส (Cryptographic Protocols)

บรการความปลอดภยเชน การเกบความลบ ความนาเชอถอ สามารถทำาไดโดยการตอตดสอสารผานโปรโตคอลโดยใชการเขารหส ซงในสวนนไดรวบรวมหวขอสำาคญในการเขารหส และโปรโตคอลการเขารหส ซงรายละเอยดทมากกวานนสามารถหาไดใน Stallings [6], Cheswick et al. [8], และ Kaufmann [10]

โปรโตคอลการเขารหสนนตองใชพนฐานของการเขารหสซงตอบสนองความตองการในดานความปลอดภย ในการจำาแนกระดบเบองตนนน แสดงใหเหนในภาพ 2.4

หลกการการเขารหส และการแบงกลมการเขารหส ขอมลทเขารหสแลวถกเรยกวา “plaintext” และ ผลลพธทไดจากเขารหสถกเรยกวา“cipher text” หลกการและกระบวนการการเขารหสนนสามารถจำาแนกไดทงในลกษณะทเปน secret key และ public key

ในกรณของการเขารหสโดย secret key ตวอยางเชน อลส และบอบไดตกลงใช secret key “K” รวมกน ซงถกใชดวยกระบวนการเขารหส ทงการเขารหสและการถอดรหสตางกใชกญแจ “K” เหมอนกน ซงทง 2 คนตางกทราบถงการใชรวมกน กระบวนการทำางานของ secret key สามารถจำาแนกไดอยางกวางๆเปน 2 แบบคอ block

cipher และ stream cipher block cipher เขารหส “blocks” ของขอมล (เชน 64,128 หรอ 256 บต) พรอมกน แตละบลอกจะเขารหสโดยใชคยเดยวกน block cipher โดยทวไป จะประกอบไปดวย AES หรอมาตรฐานการเขารหสขนสง , Blowfish,และ CAST ในสวนของ stream cipher จะใชคย K เพอสราง Key stream ซง Key stream จะถก XOR ดวยขอมลทเขามาเพอสราง cipher text ทฝงผรบจะสราง Key stream ทเหมอนกนขนและจะถก XOR กบ cipher text เพอรบขอมล block cipher ยงสามารถใชเพอสราง Key stream ไดผานโหมดมาตรฐานของการดำาเนนการ RC-4 เปน stream cipher ทวไปทไมไดมาจาก block cipher ซงขนาดของคยทจะรองรบความปลอดภยในปจจบน สำาหรบ block cipher หรอ stream cipher นน ไมควรนอยกวา 128 บต ซงโดยทวไปจะสนนษฐานวาทกคน รวมทงผโจมตทราบถงขนตอนการเขารหส แตคยทเปนความลบ อยางในกรณของ อลส และบอบ

การเขารหสโดยใชคยสาธารณะองกรรมสทธหรอใชหลกการการมอยของขอมล ทแสดงขอมล 1 คทมความสมพนธกน ขอมลสวนหนงสามารถเปดเผยได อยางไรกตามขอมลอกสวนหนงจะไมสามารถเปดเผยหรอ คนพบไดเหมอนกบสวนแรก ตวอยางเชน ถาไพรมนมเบอรนนเลอกขอมลโดยวธการสม กไมสามารถทำาไดเปดเผยขอมลไดนอกจากการเดา หรอคำานวณหาคาไพรมนมเบอรซงเปนปจจยสำาคญ กรรมสทธนจะใชใน RSA ขอมลทถกเปดเผยเรยกวา คยสาธารณะ public key และขอมลทเกบเปนความลบเรยกวา คยสวนตว private key ในการเขาถงขอมลจะใช คยสาธารณะ และในการออกจากขอมลจะใช คยสวนตว อกหนงวธการคำานวณเพอใชเขารหสคยสาธารณะ จะใชเทคนคการหาคาสงสด หรอตำาสด การเขารหสคยสาธารณะโดยทวไปนนขนาดของคยทมความเกยวของกบความปลอดภยอยทประมาณ 1,024 บต สำาหรบ RSA

การเขารหสโดยใชคยสาธารณะสามารถหาคาไดยาก ทำาใหการเขารหสโดยใชคยสาธารณะจะใชกนทวไปในการตดตงคย และลายมอชอ

ดจตอล ซงประสบความสำาเรจในดานการรกษาความลบและความนาเชอถอของหนวยขอมล แมวาคยสาธารณะของอลส จะเปนทรโดยทวกน แตจะมการตรวจสอบและรบรองวาผโจมตจะไมสามารถทำาอนตรายใดๆได โดยทวไปจะมการยนยนโดยระบบตวเลขจากผใช เพอรบรองวาเปนคยทไดรบอนญาต ซงวธนมกใชในโปรแกรมธรกจออนไลนในเวบเบราเซอรททนสมย

เราสามารถเขาถงฟงกชนแตละสวนโดยตรง จากในภาพ 2.4 โดยไมจำากดการเขาถงโปรแกรมซงจะมการจดระเบยบขอมลเพอไปใชในการวเคราะห ในการพจารณานน ยงคงไมสามารถรบขอมลเพอไปวเคราะหไดถามขนาดนอยกวา 160 บต ซงขนาดทใชกนในปจจบนน คอ MD-5 และ SHA

Block ciphers และ hash functions สามารถใชสราง MACs หรอ MICs มการตรวจผลรวมความถกตองของขอมลทใชสราง Block ciphers หรอ hash functions ซงจะใชการเขารหสและถอดรหสโดยใชกญแจรหสตวเดยวกนระหวาง การเชอมตอสญญาณ MACs หรอ MICs.ใหขอมล มความนาเชอถอและถกตองหาก Oscar ปลอมแปลงหรอปรบแตงความถกตองของขอมลการตรวจผลรวมกอาจจะลมเหลว ตองเตรยมรบมอกบปญหาของเครองรบขอมล CBC-MAC ซงใช block cipher และ HMAC ใช hash functions เปนเครองมอพนฐานของ MACs

ลายมอชอดจตอล คอขอมลอเลกทรอนกสทไดจากการเขารหสขอมลดวยคยสวนตวของผสงซงเปรยบเสมอนเปนลายมอชอของผสง เปนการยนยนบางขอมลและเชอมโยงไปยงขอมลนนๆ ซงยงเปนสญลกษณทรวมไปถงการเขารหสของคา hash ซงมขอมลคยสวนตวกบคยสาธารณะคกน อลส ไดกำาเนดขอมลบางอยางและสรางลายมอชอดจตอลของขอมล ซงใครๆกสามารถตรวจสอบลายมอชอไดเพราะการถอดลายมอชอตองการคยสาธารณะ ไมมใครนอกจาก อลส ทสามารถ

กำาเนดลายเซนเพราะวาเธอคอคนเดยวทควบคมคยสวนตว คยสาธารณะไมสามารถชวยผโจมตหรอคนอนๆไดเพราะมนจะตองสรปจากคยสวนตว

การเขารหสแบบเกาสามารถอธบายายไดวาเปนการใชในโปรโตคอลการเขารหสซงมการออกแบบการปองกนเปนพเศษ โปรโตคอลการเขารหสคอสงทมชอเสยงถงการออกแบบซงมขอผดพลาดยากทจะพบ ตวอยางของโปรโตคอลการเขารหสอาจลมเหลวไดหากพบกบเปาหมายทไดรบการคมครองคอโปรโตคอล WEP ใชใน IEEE 802.11 เครอขายไรสาย นอกจากนนการเขารหสแบบเกายงใชคยระหวางการเชอมตอสญญาณ การใชคยในสวนทถกตองตามกฎหมายเปนสงทนาสนใจในการเชอมตอ ดงเชน ผโจมตซงไมไดใชความรตรงนกบคย เปนสงทไมสำาคญและเปนสงทโปรโตคอลการเขารหสไมตองการ การสรางคยนนขนอยกบคยหลกทจะสรางโดยอาศยสวนท3 หรอ การเขารหสคยทวไป สวนมากการออกแบบโปรโตคอลการเขารหสม 3 ขนตอน ในขนตอนแรก การตดตอสอสารทเฉพาะเจาะจงหรอรบรองโดย พวกเขาเหลานน ไปยงบคคลอนบางกรณกถอเปนการรบรองเพยงดานเดยว(ในตอนนมใครบางคนในโลกซงอาจจะเปน Bob ทมการเขาถงขอมลในคยน) สงทรบรองจะใช รหสผาน , PIN , pass phrases , biometrics ,การปองกนและสงทคลายๆกน การโตตอบของโปรโตคอลททาทายนนคอการไมเปดเผยรหสผานแตจะแสดงเพยงแคขอมลเทานน โดยทวไปจะใชในการรบรอง ในขนตอนทสอง หรออาจยงเปนขนตอนแรกอย การสรางคยเตรยมไวสำาหรบสวนตอไป คยสามารถสรางขนมาไดสองทาง คอ Key transport หรอ การกระจายถอเปนสวนกำาเนดคยหลก ทงสองนเปนการแลกเปลยนขอมลโดยใชการสรางคยขนมาใหเหมอนกน มนเปนเหมอนการเปลยนเลขสม การเรยงลำาดบเลข หรอประทบเวลาซงใชเปนสงทปอนเขาไปในคยทวไป ในขนตอนทสาม การสรางคยเพอใชเปนการเขารหส พวกเราไดสรปการบรรยายตวอยางบางสวนตามสวนตอไปไปดงน

Kerberos Kerberos ถกใชเพอใชพสจนตวตนผใชเมอมการเขาใชบรการจากเครองทใชงานโดยทวไปในเครอขายแลน authentication server จะแชรพาสเวรดผใชทงหมดและคยดวย

ticket-granting server เมอผใชเขามาในพนทใชงาน พนทใชงานจะเชอมตอกบ authentication server Authentication server จะออก ticket ใหผใช และสงคยเหลานนซงผใชจะใชรวมกนดวยticket-granting server คยนไดถกเขารหสโดยพาสเวรดของผใช พนทการทำางานจะไมสามารถเรยกใชคยไดถาผใชไมถกตอง ดวยเหตนการเรยกใชคยทใชรวมกนดวย ticket-granting server เพอพสจนผใชอยางตรงไปตรงมา สงทควรจำาในสวนนคอ คยจะถกสงไปทถงผใชอยางดทสด แนนอนในกรณน พาสเวรดไดถกใชรวมกนระหวางผใชและ authentication server ticket จะเขารหสดวยตวมนเองดวยคยทใชรวมกนระหวาง authentication server และ ticket-granting server มนยงรวมถงสงอนๆดวย ซงในระหวางนนคยกจะสงไปยงผใชดวย เมอผใชตองการจะเขาใชบรการพนทใชงานจะแสดง ticket นนท ticket-granting server และขอความยนยนการเขารหสสรางขนโดยใชคยทไดรบมาครงแรกจาก

authentication server ซงจะตรวจสอบความถกตองของผใชท ticket-granting server พรอมกบออกคยและ ticket จากพนทใชงานสำาหรบใชบรการทถกรองขอเขา กลไกการพสจนจะถกใชโดย server ทใหบรการ Kerberos เปนสงทซบซอนเกนกวาทจะบรรยายไดหมด รายละเอยดทมากกวานนหาไดจาก Stallings [6] และ Kaufmann et al. [10].IPSec

IPSec เปนการเขารหสทงหมดของไอพการสอสารระหวาง 2 Host หรอกลม Host ซงบางทอาจอยในจดทแตกตางกนของบรการความปลอดภย คยทถกสรางแบบไมอตโนมตหรอโปรโตคอลทซบซอน

มากถกเรยกวา Internet Key Exchange ( IKE ) สามารถใชรบรองถงใครคนใดคนหนงและคยทถกสรางนอาจเปนสวนหนงทไปในทศทางเดยวกนของ สวนทปลอดภย ซงนนอาจจะระบถงจดหมายของ IP address , คย ,การเขารหสอลกอรทม และ protocol ในการใช Protocol จะมลกษณะเปน 1 ใน 2 ของ การบรการชองทางโดย IPSec: Authentication Header( AH )และ Encapsulated SecurityPayload ( ESP ) ใน AH , MAC ถกสรางบนแพคเกตไอพทงหมดโดยไมมพนทของไอพ หลกนนเปนการเปลยนแปลงในการสงผาน การเปดระบบนรบการตรวจสงปลอมแปลงหรอชดไอพทถกดดแปลง อยางไรกตามขนาดของขอความและแสดงใหเหนถงใครกตามทสามารถจบแพคเกตไอพได ESP เปนความลบในการเปดชองทางและดดแปลงแกไขแพคเกตไอพแตไมใชตวหลก การใช 2 โปรโตคอล ในประเภททสงกวาเรยกวา Transport mode นอกจากนมนยงใชใน tunnel mode ซงเปนทดงเดมของ IP packet เปนการทำาเสนทางสงผานขอมลไปยงแพคเกตไอพอน นเปนการสรางขนาดแพคเกตไอพแบบดงเดม ดวยเหตนจงเปนการปกปองอยางสมบรณ

SSLSSL เปนระบบรกษาความปลอดภยของขอมลใหกบเวบของ

คณ ทำาใหคณมนใจไดวา ขอมลตางๆ ทอยบนเวบของคณ เชน ขอมลสวนตว โดยเฉพาะอยางยง e-commerce ซงผซอและผขายจะตองสงขอมลทเปนความลบถงกนและกน หรอการทธนาคารตองการทจะสงขอมลลบทางการเงนใหแกลกคาของตนผานทางเครอขายอนเทอรเนต หรอขอมลทคณตดตอกบลกคา ซงระบบ SSL นจะชวยเพมความมนใจในการจายเงนของลกคากบเวบของคณมากยงขน อยางไรกตาม SSL จะสามารถตรวจสอบเครอง server ทตนกำาลงจะไปเชอมตอไดวา server นนเปน server ตวจรงหรอไม โดยใช

เทคนคการเขารหสแบบ public key ในการตรวจสอบใบรบรอง และ public ID ของ server นน (โดยทมองคกรท client เชอถอเปนผออกใบรบรองและ public ID ใหแก server นน) การเขารหสการเชอมตอ : ในกรณน ขอมลทงหมดทถกสงระหวาง client และ server จะถกเขารหส โดยโปรแกรมทสงขอมลเปนผเขารหสและโปรแกรมทรบขอมลเปนผถอดรหส (โดยใชวธ public key) นอกจากการเขารหสในลกษณะนแลว SSL ยงสามารถปกปองความถกตองสมบรณของขอมลไดอกดวย กลาวคอ ตวโปรแกรมรบขอมลจะทราบไดหากขอมลถกเปลยนแปลงไปในขณะกำาลงเดนทางจากผสงไปยงผรบการตรวจจบการไมคำานงถงการปองกนและขดขวางระบบการทำางานของพนทขอมล มนเปนสงทเปนไปได นนคอการโจมตระบบความปลอดภยไดสำาเรจและดำาเนนการในองคกรเครอขาย มนเปนสงสำาคญอยางในการตรวจจบเชนการโจมตในชวงแรกถงกบหยดความเสยหายได ขอมลของการตรวจจบระบบการทำางานและระบบการทำางาน สามารถคนหาไดใน Bejtlich , Northcutt , Novak และ Amoroso

การตรวจจบการบกรกเปนการอธบายแนวทางสำาหรบระบขอเทจจรงนนคอการเกดการโจมตระบบความปลอดภยขน นนไมใชวธเดยวสำาหรบการชใหเหนถงการโจมต ม3 ประเภททใชในเครอขายพนฐานการตรวจจบการบกรก , audit trails , logs , การเขารหสทไมนาไวใจอยางเหมาะสม , ลอคอน และเครองเตอนการตรวจจบกบสงทปรากฏขนของการโจมตระบบความปลอดภย ในเครอขายพนฐานการตรวจจบการบกรก แพคเกตจะเขาไปยงเครอขายเปนการตรวจสอบเมอพบเหน ถาพวกเขามสญญาณทตรงกนคอรถงการโจมตระบบความปลอดภย ระบบตรวจจบความผดปกต(Anomaly detection)เปน การตรวจสอบภาวะผดหลกหรอผดปกตของบคคล

คอกระบวนการของการตรวจจบสญญาณสำาหรบการทำางานทผดปกตบนเครอขาย

กระบวนการ Audit trail ถกใชในการตรวจจบการบกรก Host-based ทปกตจะออฟไลนอยและคอยดแลใหแนใจวาลอคใน Host จะไมถกยงเกยว ลอคจาก Host และระบบมากมายมความสำาคญเพอตรวจจบการโจมต การตรวจจบการบกรกฐานเครอขายในเวลาจรงแพคเกตจะถกจบภาพไว มนสามารถสรางปญหาไดถามขอมลไหลเขามาทเครอขายเปนจำานวนมาก เพราะความจของบฟเฟอรอาจจะจำากดไวและแพคเกตจะถกยกเลกดวยระบบตรวจจบการบกรก หรอ IDS การใชสญลกษณของการโจมตทรจกเปนเทคนคธรรมดาทถกใชการตรวจจบการบกรก อยางไรกตามวธนอาจจะพลาดและไมสามารถแยกแยะการโจมตไดถาสญลกษณทำาขนมาโดยเฉพาะ การโจมตระบบความปลอดภยอาจจะหลกเลยงสงทเกดผล ถาสญลกษณถกทำาขนมาทวไปมนจะเหมอนกบเสนทางปกตและการกระทำาทถกจบไดโดยผลจากการโจมตระบบความปลอดภย การปรบจนบอยจำาเปนตอการตรวจจบผบกรก กระบวนการตรวจจบผบกรกสามารถทใหซบซอน

หลายครงท IDS ตดตงเซนเซอรเพอตรวจสอบหรอเฝาดเครอขายหรอระบบ ซงมนจำาเปนทจะตดตงเซนเซอรทอกฝงหนงของ Firewall เพอใหรวามการโจมตซงมนกจะทำาการบลอก การตดตงเซนเซอรหลายๆตวจำาเปนตองพงการรปแบบการเชอมตอเครอขาย เซนเซอรอาจจะถกเครอขายทำาใหสมพนธกบขอมล เชนเครอขายสามารถหรอไมสามารถทจะแยกจากเครอขายทถกตดตามอย

มนมความเปนไปไดทระบบตรวจจบการบกรก(IDSs)จะโจมตระบบความปลอดภยดวยตวของพวกเขาเอง สงนนเปนเทคนคนนคอผโจมตจะใชการขดขวางการปองกนโดยระบบตรวจจบการ

บกรก(IDSs)ซงในระบบนนยงรวมถง distributed intrusion detection อกดวย

ระบบการตรวจจบการบกรกมหลายประเภท SNORT ถอ เปนเครองมอทใชตรวจจบการบกรกทางเครอขายทเปน software open source นนกคอฟรนนเอง ขณะเดยวกนการหาคา IDS มนจำาเปนตองพจารณาถงชนดของการโจมตซง IDS สามารถตรวจจบได,ระบบปฏบตการทมนสนบสนน,ไมวามนจะจดการกบการจราจรทมขนาดใหญ ถามนเหมาะแกการแสดงจำานวนขอมลทมขนาดใหญทเขาใจไดงาย การจดการ framework นนมนสามารถทำาได และมนมความซบซอน

ทกวนนการรวมตวกนของ IDS และ Firewall นนถกเรยกวาระบบปองกนการบกรกหรอ(IPS) ซงมนเปนประโยชน ระดบพนฐาน IPS จะบลอกเสนทางการไหลถามนเหนเกนอตราปกต จดวาเปนเครองมอในการรกษาความปลอดภยทมความสลบซบซอนในเครอขายแตไมใชการตรวจสอบเฉพาะแตมความสามารถทจะแสดงสงทตรวจสอบการกระทำาทเกดขนเหลานน แตเปนการปองกนการถกโจมตโดยสมบรณอกดวย ระบบปองกนการบกรกจะเปนการผสมผสานกนของเทคโนโลย Firewall ดยเฉพาะอยางยงระบบตรวจสอบการบกรก สงหนงเปนการรวมกนอยางสมบรณของเทคโนโลยทมความปลอดภยสงกวาและเครองมอวดความปลอดภยทดกวา เพราะระบบรกษาความปลอดภยในระดบทผสมผสานกบ Firewall และเทคโนโลยการตรวจสอบการบกรก สงนนสามารถกระทำากบระบบโดยสนเชงของสแตคบอยๆ อยางไรกตามการทำาใหเปนจรงของระบบปองกนการบกรกบนขอบเขตเปนกระบวนการทมราคาสง ในทางธรกจตองประเมนความตองการของลกคากอนจะแกไขจดการกบปญหาความปลอดภยน ยงกวานนระบบปองกนการบกรกอาจจะไมเรวและแนนหนาตาม Firewall และระบบตรวจสอบการบกรก สำาหรบเหตผลนซงความเรวคอความตองการทมากทสดมนจงไมใชการแกไขปญหาท

เหมาะสม ระบบปองกนการบกรกคอการคนควาเทคโนโลยการบกรกพนทโดยใชเทคโนโลยในปจจบนและอนาคต Honeypots หรอการวางกบดกอนเทอรเนตเปนเปนระบบทใชตรวจจบและเบยงเบนการโจมตระบบความปลอดภย เชนทำาใหดเหมอนวาเปนทรพยากรทใชจรงซงดเหมอนไมปลอดภย คาเหลานนอาจจะอยในสายตาของผโจมตทจะทดสอบและกลบมาโจมตอกครงและสามารถทำาไดกบบางระบบ การเฝาตดตามการกระทำาของผโจมตดวย Honeypots สามารถชวยใหตรวจจบการโจมตอนๆของระบบจรง หรอชวยในการออกแบบการปองกน

การประเมนคาและการตอบสนองมนเปนสงสำาคญของการประเมนความปลอดภยของเครอขายและระบบ สงทเพมคอ การกำาหนดคาเรมมความสำาคญหลงจากพบการเกดความปลอดภยและการตอบสนอง ในการโจมตซงลงในพนทขอมล ในตอนนพวกเราไดสรปสวนประกอบของการกำาหนดคาและการตอบสอง ดงทเหนใน Northcuttet , Whitacker , Newman และ McNab สำาหรบศกษารายละเอยดเพมเตม การกำาหนดคาของเครอขายสามารถใชทำาโดยผตรวจสอบภายนอก โดยทใครๆกสามารถดำาเนนการโดยผานการตรวจสอบ(ตวอยางสงทจำาเปนคลายผโจมตแตไมสามารถทำาลายระบบได)เครอขายจะสนสดเมอมการระบ , คนพบความไมแนนอนทเปนไปได และการตรวจสอบกลไกดแลและการปองกน(เชน firewall , การกำาหนดคาการปองกนโปรแกรม ,การจดการรหส) ซงเปนการทำางาน การประเมนคาความไมมนคงเพอใหระบถงความไมมนคงซงมนสามารถซอมแซมไดถาการซอมแซมนนมให เมอความไมมนคงเกดขนบอยๆกบระบบปฏบตการ ตวคนหาความไมมนคงจะไมเกบคาความไมมนคงทงหมดทแสดงบน Host ในเครอขาย Nessus ซงเปน

open-source เปนทนยมทใชเปนตวคนหาความไมมนคง เปนตวเลอกหนงทางธรกจ การตอบสนองของการโจมตความปลอดภยเมอมการตรวจจบซงเปนลกษณะทสำาคญของความปลอดภย บคคลในการโจมตของเครอขายตองการทจะแจงทนทถาการโจมตนนเปนการตรวจจบ ผลทเกดขนจะมการจดการเอกสาร สงเหลานนเปนกระบวนการในพนทขอมลของการตดตอผขายและชวยเหลอบคคลภายนอกถาจำาเปน เปนสงทแสดงใหเหนถงผลกระทบทนอยลงของการโจมตความปลอดภยทจะไดรบ ตามดวยการทำาลายความไมมนคงซงนนเปนสาเหตแหงการโจมต การกำาหนดคาของการตอบสนองวาทำาไมการโจมตจงประสบผลสำาเรจและเปนขนตอนของการปองกนวามนจะกลบมาอก

สรปในบทนเปนการอธบายของการใหการปองกนเครอขาย วถ

ทางการอธบายการสอสารทเกดขนของเครอขาย ตวอยางการบรรยายระบบโจมตความปลอดภย แนะนำาคำาศพทเฉพาะทางซงเชอมโยงกบบรการณระบบความปลอดภย การดแลและการปกปองการโจมตใชโดย firewalls และกลไกการปองกน ใชในระบบการเขารหสขอมล(cryptography)โดยพจารณาจากตวอยางคอ Kerberos, IPSec, และ SSL การตรวจจบของระบบการโจมตความปลอดภย การตรวจสอบเครอขายและระบบ และการรบมอความปลอดภยในการอภปรายในชวงเวลาสนๆ

บทท 3ความปลอดภยและสถาปตยกรรมความเปนสวนตว

(Security and Privacy Architecture)ความปลอดภยและความเปนสวนตวของผใชประกอบไปดวย โปรแกรม

อปกรณ และทรพยากรเครอขาย ขอมลทเพมขนจงตองใหความสำาคญตอการออกแบบความปลอดภย รวมถงพนททงหมดของเครอขาย และผลกระทบทจะเกดขนกบฟงกชนการทำางานของระบบ สำาหรบความปลอดภยทเหมาะสมในระบบเครอขายมนมความสำาคญมากทามกลางกลไกของสถาปตยกรรมความปลอดภย และสถาปตยกรรมอนๆ

ความปลอดภยทดในการพฒนาระบบเครอขายไดรบการยอมรบมาจนถงวนน อยางไรกตามความปลอดภยตองถกสรางขนตามลำาดบความตองการของผใช และสำาหรบการปองกน อกครงสำาหรบการเตรยมการปองกนทเหมาะสมจดประสงคท 3.1

ในบทนคณจะไดเรยนรเกยวกบกลไกความปลอดภยตางๆ ( แบบเดยวกบความปลอดภยทางกายภาพ โปรโตคอล และความปลอดภยโดยโปรแกรม การสรางรหสลบ/การถอดรหส การกำาหนดขอบเขตเงอนไข และความ

ปลอดภยในการควบคมเครองระยะไกล ) นคอวธการตดสนใจ ทามกลางกลไกเหลาน ระหวางความปลอดภยกบสถาปตยกรรมการเตรยมพรอมการเตรยมพรอมจนไปถงความสามารถในการเขาใจและใชความคดในบทน คณอาจจะคนเคยหรอเคยพบเคยเหนระบบความปลอดภยมาบางแลว ตนกำาเนดมนมาจากความสำาคญของขอมลขาวสารHacking Exposed : การเปดเผยการแกปญหาของระบบเครอขาย ฉบบท 3 โดย Stuart McClure, Joel Scambray, Joel Scambray, and George Kurtz, และ George Kurtz, McGraw- Hill Osborne Media กนยายน 2001

Information Security Architecture : สถาปตยกรรมความปลอดภยขอมลขาวสาร รวมถงความปลอดภยในองคกร โดย Jan Killmeyer Tudo, Auerbach, Auerbach กนยายน 2000

Firewalls and Internet Security : ไฟรวอล และความปลอดภยอนเทอรเนต การขบไลผบกรกอยางมเลหเหลยม ฉบบสองโดย William R Cheswick, Cheswick, Steven M. m Steven Bellovin, Bellovin, and Aviel D. และ Aviel d Rubin, Rubin, Addison- Wesley Professional, ผเชยวชาญ Addison – Wesley กมภาพนธ2003

Inside Network Perimeter Security : ความปลอดภยในระบบเครอขายวงใน เครอขายสวนตว การมองเหน VPNs, เราเตอร ระบบตรวจสอบการบกรก ฉบบท 2 โดย Stephen Northcutt, Karen Fredrick, Karen Fredrick, Scott Winters, Scott Lenny Zeltser, Lenny Zeltser, and Ronald W. และ Ronald W Ritchey, Ritchey, New Riders Publishing มถนายน 2005

Computer Security Handbook : คมอความปลอดภยของคอมพวเตอร โดย Seymour Bosworth และ Michel Kabay, John Wiley & Son เมษายน 2002

3.2 เบองหลง

ความปลอดภยบนระบบเครอขายหรอวธปองกนระบบเครอขายเปนการใหบรการการจำากดการใชงาน เพอปองกนการทำาลาย หรอการเปดเผย ทอาจจะทำาใหระบบเครอขายเกดอนตรายโดยเฉพาะอยางยงผลกระทบขางเคยงทจะเกดขน ความปลอดภยของระบบเครอขายคอความลบทสำาคญและเปนหวใจสำาคญเลยกวาได สงนจะเกดขนไดจะประกอบดวย โปรแกรม อปกรณ หนงสอทเกยวกบการรกษาความปลอดภยรวมถงความลบในระบบเครอขาย

เมอพจารณาถงความปลอดภย การปกปองอยางสมบรณ การตอตาน เพอการใชทรพยากรบนระบบเครอขายไดอยางสมบรณ การพจารณาเหลานถกกลาวถงในสถาปตยกรรมของระบบ Security วาจะรกษาความปลอดภยใหไดผลนนจะตองมความสมพนธ ทงทางดานอปกรณ ซอฟตแวรและฮารดแวร และตองเปนความลบภายในองคกรอกดวย

การตอตานการโจมตจากตามทปรากฏไมมปญหาหรออนตรายใดๆ เพราะไดมระบบการปกปดขอมล สทธการเขาถง การทจะเขาไปแกไข การเขาไปขโมย หรอการทำาลาย

บทนครอบคลมถงความปลอดภย และการตดสนใจทจะนำาไปใชในการออกแบบการรกษาความปลอดภย สงนคอสงทนาสนใจตอการเปลยนแปลง ดงนนการแสดงความคดของกลไกระบบรกษาความปลอดภยชวยใหเกดการพฒนาระบบความปลอดภยขนเรอยๆ ปจจยทจะนำามาพฒนาอกอยางกคอ การดความตองการของนโยบายของผใช วาตองการแบบไหนจะไดทำาการวเคราะหและออกแบบไดตรงกบความตองการตอไป

3.3 แผนและแนวทางการพฒนาระบบความปลอดภย การทจะพฒนาระบบความปลอดภยนตองเขาใจถงฟงกชนการทำางาน

ตางของระบบเนทเวรกอยางถองแทเสยกอนดงนนการนำาไปสการพฒนาความปลอดภยจะประกอบไปดวยคำาถามเหลาน

1. อะไรทเราพยายามแก หรอเพมเพอใหเกดความแตกตางของระบบความปลอดภยน

2. อะไรคอกลไกความปลอดภยทเพยงพอของเครอขายนขณะนมนเพยงพอทจะรองรบจำานวนของความปลอดภยในเครอขาย

ทวๆไป เราควรจะมขอมลเพอการวเคราะหชวยในการตดสนใจเกยวกบการรกษาความปลอดภยทถกตอง เราตองบอกไดวาระบบความปลอดภยนนาสนใจเพยงไร

เมอกลไกรกษาความปลอดภยถกหยบยกขน มนดทสดทจะกลาวถงความปลอดภยทมความซบซอนมากกวา การใชงานงายแตมประสทธภาพสงโดยมรปแบบการทำางานทหลากหลายโดยเฉพาะอยางยงฟงกชนเลกๆนอย หรอการใชงานงาย งายตอการบำารงรกษา

ในสถาปตยกรรมความปลอดภยคณควรจะตดสนใจปญหาของลกคาและแนวทางการแกไข สงเหลานจะถกกำาหนดอยางชดเจนเพราะจะใชเปนสวนของการพฒนาและการวเคราะหการคกคามทจะเกดขนคณตองมความพรอมเพยงพอทจะตอบคำาถามเหลาน

- สงหนงหรอทรพยากรตองไดรบการคมครอง- อะไรคอปญหาความคกคามทเรากำาลงตอตาน- ความเปนไปไดของปญหาของแตละการคกคาม- ขอมลขาวสารทจะเปนแรงผลกดนใหเกดการบกรก แผนนควรจะ

ปรบปรงอยางไร สถานะการการคกคามความปลอดภยในทเปนอย โดยดจากองคกรตางๆในเวลา 1 ป หรอบอยกวา

ในบนทกไดกลาวไววาในเครอขายนนมความตองการทแตกตางกน ดงนนสถาปตยกรรมกตองมความแตกตางสงเหลานคอขอจำากดของระบบความปลอดภยทแตกตาง จงไดเกดวธทกลาวถงความแตกตางในบทน

การทคณจะตดสนใจแกปญหาความปลอดภยครงหนง คณควรคดถงกลไกของความเปนไปไดในระบบความปลอดภยนนถาเราแกปญหาของลกคาไดสมบรณ หรออาจจะแกไดบางสวนนนคอกลไกอยางหนงทจะทำาไดหรออยในขอบเขตการทำางานของคณ คณอาจจะวางแผนเพอเพมกลไกความปลอดภยของคณหรออพเกรดรปแบบงานของคณเพอเพมกลไกอนๆกได

3.4 ความปลอดภยและการจดการความลบการเตรยมการจดการอยางไมหยดยงของงานรกษาความปลอดภย

ความลบในงานรกษาความปลอดภยเปนสงเดยวทจะประสบความสำาเรจไดในสถาปตยกรรมความปลอดภย การเขาใจซงการคกคามจะสามารถปองกนการบกรกได สามารถสรางมาตรฐาน เพอพฒนาระบบเครอขายของคณในสวนนจะกลาวถงการเตรยมสวนประกอบของการรกษาความปลอดภยการวเคราะหถงภยคกคาม และนโยบาย3.4.1 การวเคราะหการคกคาม

การวเคราะหถงภยคกคามเปนสวนทจะชวยในการในการตดสนใจในสวนประกอบ ของการไดรบการ

การคมครอง ชนดของความเสยงทจะเกดขน เขาควรจะไดรบการคมครอง ดจากรปท 3.1 ขอมลขาวสารทคนเคยนจะสามารถเปนสวนชวยใหเปนสวนตดสนใจในการวางกลยทธในสถาปตยกรรมเครอขาย จะไดออกแบบระบบความปลอดภย อยางมประสทธภาพ

การวเคราะหความปลอดภยประกอบไปดวยการระบถงคณคาของขอมลหรอทรพยสนรวมทงการประเมนคณคาตอภยคกคามทจะเกดขน

- ผใชอปกรณ ( ททำางาน/เครองคอมพวเตอร)- เครองเซอรฟเวอร- ผเชยวชาญดานอปกรณ- อปกรณเครอขาย ฮบ, สวทซ, เราทเตอร , OAM & P- ซอรฟแวร ระบบปฏบตการ ยทลต โปรแกรมไคลเอนท- การบรการ โปรแกรม การบรการดาน IP- ขอมล Local / Remote การเกบเอกสารสำาคญ ฐานขอมล- การเขาถงขอมลอยางไมเปนทางการ/การบรการ/ซอฟตแวร/

อปกรณ- การเปดเผยขอมลอยางไมเปนทางการ

- การปฏเสธการบรการ- การขโมยขอมล/การบรกา/ซอฟตแวร/อปกรณ- ความผดพลาดของขอมล/การบรการ/ซอฟตแวร/อปกรณ- ไวรส วอรม โทรจน- ความเสยหายทางกายภาพ

วธหนงทจะรวมรวมขอมลเกยวกบความปลอดภยความลบทวๆไปของคณและทรพยสนการวเคราะหนสามารถแจกจายไปใหผใช แอดมน และการจดการแมแตละสวนของกระบวนการวเคราะหปญหาความปลอดภยทจะเปนไปได

ตวอยางเชนแสดงดงรป 3.2 ในรปนถกใชตดสนใจระหวางการวเคราะหความตองการของการประมวลผลหรอองคกรทเจอะจง ของการวเคราะหความแตกตางแสดงใหเหนดงตารางดานลางนการวเคราะหการคกคามจะประกอบไปดวยขอมลขาวสารทรพยสนทตองการการคมครอง ในเรองของการตอตาน ความสมบรณ และประโยชนกได การวเคราะหจะถกรวบรวมดวยขอมลเหลาน

การวเคราะหทางทศนยภาพ มนถกแนะนำาวาควรวเคราะหอยางเปนระยะๆ เชนเดยวกบการวเคราะหประจำาป เพอระบถงการเปลยนแปลงรอบตวคณ ชนดของภยคกคามกเหมอนกนมนกจะเปลยนแปลงไปเรอยๆ ทงนการทเราคอยตรวจสอบเพอปรบปรงตวเองอยเสมอจงทำาใหรบมอตอการคกคามไดอยางสมบรณ3.4.2 ขนตอนและนโยบาย

มหลากหลายรปแบบมากทตองการแลกเปลยนความลบและความปลอดภย (มนคอสถาปตยกรรม

ทงหมด) และมนเปนดาบสองคม บางครงผใชเองกสบสน เสนทางไปสความปลอดภยยงเพงเรมตน จะตองมการพฒนาความรอยเสมอๆ

นโยบายของความปลอดภยแสดงถงขนตอนความปลอดภยทงหมดขององคกรรวมทงสงอนๆดวยดงแสดงในรป 3.3

สงซงเรยกวาความปลอดภยคอเสนทางทไดรบการยอมรบโดยทวไปของการเขามามสวนรวมในระบบเครอขายน

การทจะเปดระบบเครอขายตองเขาใจถงหลกการการคกคามและการรกษาความปลอดภยอยางถถวนมนไดใชเปนเครองพสจนไดวาสงทเราไดออกแบบมามประสทธภาพเพยงพอไหม

อกนยหนงความปลอดภยนนหมายถงการปกปองหรอปกปดในทกๆทางถาตองการความปลอดภยอยางสมบรณนนหมายถงจะไมมอะไรเลยทสามารถเขามาสระบบเครอขายไดแตในความเปนจรงแลวทำาไมได

เมอคณพฒนาความปลอดภยหรอขนตอนจงจำาไวเสมอวาจะตองมการชแจงประโยชนทจะไดรบจากความปลอดภยนนอยางชดเจนเพอทใหทกคนในองคกรสามารถปฏบตตามได

นโยบายและและขนตอนทควรคำานงถง- การกลาวถงความลบ ( การเฝามอง การเขาไปใชงาน การลอค )- การกลาวถงการรบผดชอบ ( ภาระหนาท การตรวจสอบ )- เครดตความนาเชอถอ ( รหสผาน การเขาถงระยะไกล )- ขาวสารละชองทางการตดตอ ( การตดตอขาวสาร ขนตอน )ตวอยางเชนขนตอนและนโยบายของความปลอดภยเปนสงทเกดการ

ยอมรบหรอบงเอญอาจเกดการตอตานการมองไมเปนไปในแงบวก นโยบาย

เหลานควรจะบรรยายใหทงถงเพอชวยใหผใชเขาใจถงกฎระเบยบการใชงานอยางถถวน จะทำาใหเกดทศนคตทดตอการใชงานการทผใชจะเขาถงระบบ

- อำานาจทมอบให- ความนาเชอถอ และรหสผานทไดรบ- การฝกฝนภาระหนาท ทตองรบผดชอบ- การสงเกตถงอปกรณวาไมใชทรพยสมบตสวนตว- การละลกถง มาตรฐาน ของความลบ

การใชงานของผบรหารและความตองการใช- ผใชระดบสงรวมถงผบรหาร

ความสามารถในการจดโครงสรางภายนอกของระบบ- การบำารงรกษา- การปองกนไวรส- ใชระบบปฏบตการทเหมาะสมกบความตองการ- ใชระบบตดตามเฝาระวงเกยวกบแฮกเกอร- การควบคมความสามรถของอปกรณทจะเขาถง- การจดการเกยวกบการ Login เขามาใชในระบบ- มการเกบ Back up ขอมลยอนหลง- การใชงานทกอยางตองมการบนทก- มการพฒนา การคำานวณและการวางแผน- สามารถตดสนใจไดวาจะทำาอยางไรถาเกดการโจมต

3.5 ความปลอดภยและกลไกของความลบในทกๆวนนมกลไกของความปลอดภยอยมากมาย แตกไมใชกลไก

ทงหมดทจะเหมาะสมตอทกรปแบ[การใช จงตองอาศยการจดเตรยม การประเมนราคา และความสำาคญตอการรกษาไว3.5.1 ในสวนของความปลอดภยทางกายภาพ ความรในเรองโปรโตคอลเปนสวนสำาคญในการสรางความปลอดภยรอบๆเครอขาย การใชงานระยะไกล

ทางทจะเพมความปลอดภยทางกายภาพ ดงรปท 3.4

- หองควบคม ( โดยมคยการด ) สำาหรบหองอปกรณเกยวกบเครอง แมขาย

- มการเกบสำารองขอมล- การบนทกการใชงานแตละครงเพอเปนหลกฐานสำาคญ- มระบบการเตอน ( สญญาณเตอนผบกรก )

ความปลอดภยทางกายภาพสามารถใชกบรปแบบอนๆไดอกดวย เชนเดยวกบการเกดหายนะ แผนดนไหว พาย โดยเฉพาะภยทางธรรมชาต ( การใชระบบสญญาณเตอน ) เพอทจะเตรยมตวไดทน กเชนเดยวกบการเตอนกอนลวงหนาถงสงทจะเกดขน ระบบความปลอดภยของเครอขายกเชนเดยวกน

ความปลอดภยนนนำามาใชควบคกบการศกษาวนแลววนเลากบการเรองราวของเครอขายของพวกเขา พวกเขาเขาใจความเปนไปได ของการละเมดทจะเกดขน แตความรความสามารถนนยอมถายทอดถงกนได เพอทเขาทงหลายจะใชในการปรบปรงแกไขสงทจะเกดขนได และเปนไปไดวาถาหากไดประกาศใหผใชทกคนรบร กจะมสวนชวยใหทกคนมสวนรวมในการดแลรกษาความปลอดภยมากยงขน

3.5.2 โปรโตคอลและความปลอดภยของโปรแกรม ในสวนนเราพจารณารวมกนกบโปรโตคอลและกลไกความปลอดภย

IPSec, SNMP,และ packet

IPSec เปนโปรโตคอลสำาหรบจดใหทนาเชอถอ โดยการสรางรหสและการถอดรหสระหวางอปกรณทชนเครอขาย กลไก IPSec ประกอบดวย authentication header (AH) และ encapsulating security payload (ESP) ซง IPSec มปฏบตการสองโหมด คอ การขนสงและการกระทำา โหมดการขนสงคอการนำาขอความมาจาก IP payload เขารหสโดยใช ESP ในขณะท IP หลกทเหลอไว ดงแสดงในรป 3.5

ในโหมดการกระทำา แสดงในรป 3.6 IPSec สามารถใสแคปซลเปนแพคเกตระหวางสองเครอขายสวนตว virtual private network (VPN) เกทเวย (IP b and IP c ดงรป )

รปท 3.6

การกระทำาในโหมดของ IPSecประกอบดวยขนตอนดงน

- IPSec ถกสรางขนในระหวางเกทเวย VPN IPb และ IPc ในรป 3.6- IP packets คอการนำาเอาขอความมาเขารหสโดยใช ESP- Packets นมอยในแคปซล IP packets อกทง IP packets อนๆ

ดวย และทอยกบ IPSec อนสดทาย (IPb และ IPc)

- การจบการกระทำา(เกทเวย VPN ทใชสำาหรบ IPd) แพคเกตตนแบบทไมไดอยในแคปซลและถอดรหสแลวสงไปยงปลายทาง

ตวอยางของการกระทำา Encapsulation หรอเรยกวาการบรรจแคปซล (การสงขอมลจากลำาดบชนสวนบนเพอมายงสวนลาง ทถกหอหมดวยเฮดเดอรเปนชนๆ) การใสแคปซล ขอมลภายในโปรโตคอล เฮดเดอร จดประสงคเพอการแยกและการปกปองขอมล สงนตางจากการใสในแคปซลโปรโตคอลแบบเดม ซงมฟงกชนทสนบสนนทหลากหลายในชนโปรโตคอลแตละ เลเยอร เครอขายสวนตวนนำามาประยกต และกำาลงคดทจะสรางทแยกกนออกเปนหลายๆเครอขายและการเขาถงของโครงสรางรวมกน

รปภาพท 3.7ตวอยางของการกรองแพคเกต

การทำาและ VPNs รวมกนกบวธสำาหรบการแยกออกของเครอขายผานโครงสรางพนฐานรวมกนเชน อนเทอรเนต ความปลอดภยสำาหรบการจดการโปรโตคอลของเครอขายเวอรชน 3 (SNMPv3) รายละเอยดในรปแบบความปลอดภยของผใชขนพนฐาน (USM) การปกปองขอมลขาวสาร การเปดเผย หรอการดกฟง และขาวสารทหลงไหล SNMP มความสามารถดานความปลอดภยดงตอไปน

- ขอมลมความสมบรณ (การบำารงขอมล) ความเปนเอกลกษณหรอการระบตวตนของผใช(แหลงกำาเนดขอมลทนาเชอถอ) ขอมลทมการตอตาน via authProtocol, authKey, privProtocol, and privKey- การตรวจสอบขอมลขาวสาร SNMP ในระดบขดสดเวลา (message timeliness/limited replay) (via snmpEngineID, snmpEngineBoots, and snmpEngineTime)ความปลอดภยของ SNMP ยงรวมถงกลไกทนาเชอถอ และการสรางรหสลบและการถอดรหส- HMAC-MD5-96 (โครงสรางขอมลแบบ 128 bit (MD5) cryptographic hash-function, message authentication codes (HMAC) mode, truncated to 96 bits)- HMAC-SHA-96 (Secure Hash Algorithm) - CBC-DES (Cipher Block Chaining Mode Symmetric

Encryption/Decryption protocol ความปลอดภยของ SNMP ทจดไวสำาหรบ MIB เพอการเขาถงโหมด ตวอยาง ซงมนมความเปนไปไดทมความแตกตางของ หนา MIB สำาหรบกลมแตกตางกน และการเขาโหมด (RO, RW) และการถอดสำาหรบกลมทแตกตางกน

การกรองแพคเกต คอกลไกในอปกรณของเครอขายหรอผานแพคเกตเปนกลยทธภายในเครอขาย บอยครงทมการปฏเสธแพคเกตทสงใหหรอจาก IP ทเจาะจงอางตำาแหนงหรอพอรต ดงรปภาพ 3.7

3.5.3 การสรางรหส/การถอดรหสขณะทกลไกความปลอดภยทจดเตรยมการปองกนโดยการจำากดสทธใน

การเขาถง และการทำาลายทรพยากรและขอมลขาวสาร การสรางรหสลบ/การถอดรหส ปองกนขอมลขาวสารจากผใชทจากการโจมต การสรางรหสลบ/การถอดรหส คอกลไกความปลอดภย อลกอรทมเลขศนย กบกญแจลบซงเอาขอมลหรอขอความมาเขารหสเพอเขาไมไดอานได ซงจะถกขดขวาง ตอมาขอมลจะถกถอดรหสโดยปลายทาง ดงแสดงในรปภาพ 3.8

เชน การสรางรหสลบ/การถอดรหสเปลยนรปแบบความปลอดภยโดยการปองกนขอมลขาวสาร ในกรณทกลไกเกดความลมเหลวจะไมเกบรกษาไมใหสทธกบผใชขอมลขาวสาร ซงม 2 ชนด ดวยกนของ การเขารหสลบ/การถอดรหสลบ คอ กญแจสาธารณะและกญแจสวนตว เครองมอซอฟแวรในการสรางรหสลบคยสำาหรบผใชสาธารณะ /การถอดรหสลบทมตวแปรรวมกน ตวอยางมาตรฐานการสรางรหสลบขอมล(DES) การสรางรหสลบกญแจสวนตว 3 เทาของการสรางรหสลบในการเขาถงสวนตว. การสรางรหสลบกญแจสาธารณะ พนฐานของโครงสรางกญแจสาธารณะ (PKI) คอตวอยางของพนฐานของโครงสรางความปลอดภยซงใชทง 2 คอ กญแจสาธารณะและกญแจสวนตว พนฐานของโครงสรางกญแจสาธารณะคอความปลอดภย ผสมกบกลไกความปลอดภย นโยบาย และเปนการชทางเขาไปในระบบ นนคอการตงเปาหมายสำาหรบการเขาใชขามเครอขายสาธารณะ (อนเตอรเนต) ซงขอมลขาวสารซงจะนำาเอาขอความมาเขารหสผานใชของกญแจสาธารณะและคกญแจสวนตวนนคอ รบและแบงไวใชสำาหรบผไดรบสทธ พนฐานของโครงสรางกญแจสาธารณะ (PKI) ถกตงเปาหมายไปในทางทถกกฎหมาย และเกยวกบการคา ทางราชการ ทเปนขอมลความลบ การประชม และรวมถงกญแจตวอกษรรหสลบและ การจดการระบบใบประกาศนยบตร

สวนประกอบของระบบ ดงน- การจดการ และการใชงานสาธารณะ/การใชงานสวนตว- กญแจสาธารณะการจดพมพกบ UIDs และ ประกาศนยบตรในการเปด

ไดเรคเทอร- โดยเฉพาะการใชงานสาธารณะกบการใชงานสวนตว- การรบรองความเปนผถอครองของการใชงานสาธารณะ/การใชสวนตว

คพนฐานของโครงสรางกญแจสาธารณะ (PKI) ใชคณะกรรมการการหนงหรอมากกวาทไวใจได และทราบเกยวกบระบบใบรบรองเปนหลกฐาน ซงมคณะกรรมการ 3 ขนสำาหรบเรอง พนฐานของโครงสรางกญแจสาธารณะ (PKI) ซงมลกษณะทเปนฐานขอมลลำาดบชนคอ ขอมลประกาศ ขอมลการลงทะเบยน ขอมลความนาเชอถอ และการลงทะเบยนภายใน

ตวอยางอนๆ เชน หองสมดทมความปลอดภย หองสมดทปลอดภยคอกลไกความปลอดภยมความนาเชอถอบนพนฐาน RSA ทยอมรบได ซงมความเปนดจตอล และใช RC4 ถงการนำาเอาขอความมาสรางและการถอดรหสลบ เพอทำาการสอสาร SSL ไดเตบโตมาเปนสวนหนงการเปนผนำาดานความปลอดภยของโปรโตคอลบนอนเตอรเนต

สงหนงของการแลกเปลยน การสรางรหสลบ/การถอดรหสลบ คอ การลดปฏบตการบางอยางของเครอขาย ขนอยกบชนดของการสรางรหสลบ/การถอดรหสลบและเมอมการดำาเนนการดานเครอขาย การปฏบตการเครอขาย(ในแงความจและความลาชา) สามารถลดตำาลงได 15% ถง 85% หรอมากวา โดยปกตการสรางรหสลบ/การถอดรหสลบ ยงตองการผจดการเครอขายและการบำารงรกษา และการสรางรหสลบ/การถอดรหสลบ ซงอปกรณมราคาแพง ซงมกลไกทเขากนไดกบกลไกความปลอดภยอนๆ การแลกเปลยนกน เชน ควรจะมการประเมนคาเมอมการสรางรหสลบ/การถอดรหสลบ

3.5.4 ความปลอดภยเสนรอบวงของเครอขายสำาหรบความปลอดภยเสนรอบวงของเครอขายหรอสวนตดตอภายนอก

ระหวางเครอขายของคณกบเครอขายภายนอก เราคดวาใชกลไกในการแปลตำาแหนงทอยและไฟววอลล

เครอขายอางองตำาแหนงในการแปล หรอ NAT คอการ จดรปแบบ IP อางองตำาแหนงจากอนหนงไปถงอนอนๆ สงนคอระหวาง IP อางอง

ตำาแหนงทวางสาธารณะและสวนตว IP สวนตวอางองตำาแหนงทวาง คอสวนหนงของ IETF-เมอมการพบทวางตำาแหนงทอยสวนตว (RFC 1918)

Class A 10.x.x.x 10/8 prefi x Class B 172.16.x.x 172.16/12 prefi x

Class C 192.168.x.x 192.168/16 prefi x

NAT Network address translation ถกสรางระหวางตำาแหนงทอย เชนเดยวกบหนงตอหนงอางองตำาแหนงทจบกนกบ (สถต NAT)สงหนง ตอ ตำาแหนงทอยจำานวนมากมายทกำาลงจบกนกบ (ไดนามกส NAT) และตำาแหนงทอยและพอรตทกำาลงจบกนกบ (เครอขายอางองตำาแหนงการแปลพอรต หรอ NAPT) ขณะท NAT ถกพฒนาขนเพออางองตำาแหนงเนอหาของทอยตำาแหนงของพนทวางทใชหมดแลว มนจงเปนกลไกทขยายความปลอดภยไปยงสวนตดตอภายนอก เสนทางทใหIP สวนตวอางองตำาแหนงทวางจะไมถกเผยแพรภายในอนเตอรเนต ดงนน ตำาแหนงทอยIP สวนตว จะซอนโครงสรางทอางองตำาแหนงไวภายในของเครอขายจากภายนอก สถาปตยกรรมความปลอดภยควรพจารณาการรวมเขาดวยกนของสถตและพลวต NAT และ NAPT ซงอาศยอปกรณทจะชวยในการปองกน เปนตนวา สถตทถกใชสำาหรบผกอปกรณผใชหลายอน เชนเดยวกบเครองแมขาย หรอผใชคอมพวเตอรระดบสง ขณะทไดนามกส NAT ถกใชกบอปกรณคอมพวเตอรทวไป ไฟรวอลคอการรวมเขาดวยกนของกลไกของความปลอดภยอยางหนงหรอมากวานน เพราะถกเพมในอปกรณเครอขาย(เราเตอร) กำาหนดกลยทธของตำาแหนงภายในเครอขาย ไฟรวอลสามารถเปน filtering gateways แอปพลเคชน proxies กบ filtering gateways หรออปกรณพเศษทรนกบซอฟแวรไฟรวอล3.5.5 ความปลอดภยการรโมท

ทางเขาระยะไกลประกอบดวยการหมนแบบดงเดม ชไปแบบจดตอจด และการเชอมเครอขายสวนตว แสดงในรป 3.9 ความปลอดภยสำาหรบทางเขาระยะไกล

รปภาพท3.10การพจารณาการ remote access

สงททราบรวมกนเปนปกตคอ AAAA ความนาเชอถอของผใช สทธททมอบใหเพอรบรองความเปนผใชทแทจรง การทำาบญชแหลงทมาทรพยากรและการใหบรการ การจดสรรองคประกอบของขอมลขาวสาร (ตำาแหนงทอยหรอสนทางคาพนฐาน) โดยปกต AAAA จะผสนบสนนโดยอปกรณเครอขายเชนเดยวกนกบเครอขายแมขาย (NAS) หรอระบบจดการอกษรพมพ (SMS)

ความปลอดภย remote access รวมกบบรการทจดใหของเครอขายผใหบรการ(ตวอยางรายละเอยดผใหบรการ รปแบบในเชงสถาปตยกรรม) ซางมนกำาลงคอยๆปรากฏเขาไปในเครอขายของกจการเพอชวยในการสนบสนนทางเขาระยะไกลโดยการจำาลองเครอขายของขาทงหลาย

การพจารณาเมอมการจดใหม remote access ดงรปภาพดงตอไปน 3.10

- วธการของ AAAA- ชนดของเครองแมขายและสถานท- การทำาปฏกรยากบ DNS ตำาแหนงทอย และบรการอนๆ

รปท3.11 กระบวนการสำาหรบ การสรางสวนของ PPP/PPPoE แสดงการทำาปฏกรยากบโปรโตคอลแบบจดตอจด(PPP) PPP บน Ethernet (PPPoE) และ remote access การหมนในการของผใชบรการ (RADIUS) ใน remote access network รปภาพแสดงกระบวนการของการตงของ PPPoE บนสวนของ PPP ทเรมตนขน PPPoE ทจดไวใสแผรองระหวาง

อเทอรเนต เปนการสนบสนนไปยงจดตอจดแบบดงเดม ของ PPP เผยแพรบนเครอขายอเทอรเนต ดงเชน สวนของ PPPoE เรมเรมเผยแพรเปน

แพคเกต PPPoE เรมตนคนพบการทำางาน(PADI) แพคเกตนเรมตนโดยความรวมมอกนระหวางคอมพวเตอรกบผใช และ NAS ประกอบดวย PADI การคนพบการทำางานกลายเปน PADO การคนพบความตองการในการทำางาน PADR และ PPPoE สวนการคนพบการทำางานของแผนบางๆ เปนแพคเกต PPP สามารถเรมตนในสวนกระบวนการใหสมบรณได

APPP ม 3 ชน คอ ชนการเชอม ชนรบรองความเชอถอ และชนเครอขาย ชนแตละชนสรางขนบนสวนของ PPP PPPoE และ PPP ไดถกตงขน และผใชสามารถเรมตนใชเครอขายได ความนาเชอถอของเครอขายการเขาถงเครอขายโดยรโมท ซงอาศยการรวมโปรโตคอล PPP PPPoE PAP CHAP และ RADIUS กลไกทนาเชอถอในการเขาถงเครอขายโดยรโมท ใชรปแบบของเครอขายวงจรรวม สมารทการด ใบรบรองดจตอล และ VPNs และเมอนำามาพจารณาแลวพบวาเปนสวนหนงของ การเขาถงเครอขายโดยรโมท (remote access network)

ตวอยางทถกนำามาพจารณาวาเปนสวนหนงของสถาปตยกรรม VPNs เปนสถาปตยกรรมทสามารถกำาหนดการตดตงดวยตวเอง มนเปนสวนหนงเมอมการสรางเอกทราเนต ซ งอนทราเนตทขยายออกเพอการเขาถงหรอองคกรภายนอกทมการคดสรร เชน ลกคา ผ จ ำาหนาย แตไมใชก บกล มสาธารณะทวไป การพจารณานนรวมถงชนดอปกรณ การทำาโปรโตคอล และความปลอดภย ตำาแหนง VPN นโยบาย VPN ทกำาหนดและการสนบสนน และการใชโปรโตคอลในการจดการเสนทางเชน border gateway protocol (BGP) หรอ multi-protocol label switching (MPLS)

ในตอนสดทาย ความปลอดภยของ remote access ควรจะพจารณาการสอสารผาน Wireless และอปกรณทค ำานวณแบบเดยวกนคอการใช มาตรฐานเชนเดยวกนกบ มาตรฐาน 802.11 และพนธมตรการทำาเครอขาย(Homephoneline Networking Alliance) เครอขายไรสายสมารถตงเปาหมายสภาพแวดลอมได เชนเดยวกบความสามารถในการเคลอนไหว สงทสามารถหวได และสามารถไปยงสถานทตางๆได

3.6 การพจารณาถงสถาปตยกรรมในการพฒนาสถาปตยกรรมความปลอดภย เราตองการประเมนคากลไก

ความปลอดภยทเปนไปได ซงเขาอาจจะใชภายในเครอขายรวมทงเปนสวนหนงของความสมพนธ ภายในและภายนอกสำาหรบสวนประกอบของสถาปตยกรรมน

3.6.1 การประเมนคาของกลไกความปลอดภยในจดนเรามความตองการ เปาหมาย ชนดของสงแวดลอม และแบบ

จำาลองสถาปตยกรรม เพอประเมนคากลไกของความปลอดภย เพราะแตละอนนนเปนสวนประกอบของสถาปตยกรรม เมอมการประเมนคากลไกของสถาปตยกรรม ซงมนเปนสงทดทจะเร มงานจากสงทงายๆไปยงการแกปญหาทซบซอนมากวา เมอมความจำาเปน

กลไกความปลอดภยทใชในเครอขายนนความสำาคญ ซงมตองการความปลอดภยเมอมการคนหาทตงผานเครอขาย การตองการความปลอดภยนนเปนสงทถกตอง โดยอาศยผลลพธของการวเคราะหความตองการ และความปลอดภย รวมทงการวางแผนทเปนความลบ

สถาปตยกรรมสามารถชวยในการตดสนใจเมอนำากลไกความปลอดภยมาใชในเครอขาย เปนตนวา การเขาถง/การจดสรร/โครงสรางหลกของสถาปตยกรรม ซงแยกออกโดยอาศยฟงกชนพนฐานของเครอขาย สามารถใชเปนจดเร มของกลไกความปลอดภย การใชตวอยางแบบนความปลอดภยในแตละระดบสามารถเพมขนได จากการเขาถงเครอขายถงการจดสรรเครอขายจนถงจดศนยกลาง

ความปลอดภยเพมขนโดย การเพมความปลอดภยโดยการขยายกลไกของแตละกลไกใหสงขน

รปท 3.12การเขาถง/การจดสรร/โครงสรางสถาปตยกรรมหลก เปนจดเร มตนสำาหรบความปลอดภย

เครอขาย การเพมกลไกความปลอดภยโดยการขยายจำานวนของความปลอดภยภายใตเงอนไขของกลไกของแตละอน ดงรปท 3.12 ดงรปความปลอดภยทเพมขนจากการเขาถง การจดสรร และพนทสวนกลาง ซงแตละอนมการเพมกลไกความปลอดภยของแตละพนท โดยการเพมระดบความปลอดภย (ขยายความปลอดภยใหสงขน) ในแตระดบ สำาหรบแบบจำาลองสถาปตยกรรม สวนมากการจราจรของขอมลจะมาจากแหลงขอมล/ไปยงการเขาถงเครอขาย และการเขาถงการจดสรรและศนยกลางเครอขาย และเดนทางเขาผานการจดสรรและศนยกลางของเครอขาย โดยการเพมกลไกหรอขยายในแตละระดบของกลไก การจราจรจะไหลไปทระดบสงกวาของความปลอดภย และจะเคลอนยายจากการเขาถงไปการจดสรร และไปยงศนยกลางเครอขาย

ในรปภาพท 3.12 การจราจรจะไหลจาก ผใช A ไปยงผใช C เดนทางผานทงการเขาถง และการจดสรรของเครอขาย ไปจะเจอความปลอดภย 2 ระดบ คอ ระดบ 1 และระดบสองจะเปน ไฟววอลล และระดบ 2 กจะเจอกบไฟววอลลอกครง ซงระดบ 2 ความปลอดภยใหญกวาระดบ 1 A ระดบ 2 ไฟววอลลจะใหทางเขาท สมบรณโดย access control list(ACL) มกฎอยางเครงครดสำาหรบการจราจร หรอการลอคอนทใหญกวา และสามารถตรวจสอบได

การจราจรไหลจากผใช C ไปยงผใช A เดนทางผานการเขาถง การจดสรร และเครอขายศนยกลาง การจราจรจะเคลอนยายจากผใช C ไปยงเครอขายศนยกลาง จะพบกบกลไกความปลอดภยหลายๆอน (การตรวจสอบการบกรก ไฟววอลล การสรางรหสลบ/การถอดรหสลบ และ การกรองแพคเกต ) กบความปลอดภยทเพมขนจากการเขาถงไปการจดสรรและไปยงศนยกลางเครอขาย ทงน การจราจรเคลอนจากศนยกลางเครอขายไปยงผใช A จะพบกบไฟววอลลระดบท 3 อกครง

ในรปแบบทคลายกนของบรการทจดไวใหบรการ อนทราเนต/เอกทราเนต แบบจำาลองสถาปตยกรรมยงสามารถพฒนาเคาโครงส ำาหรบความปลอดภยของเครอขาย

เสนรอบวงความปลอดภย(พนทความปลอดภยหรอเซลล)สามารถพฒนาในเครอขายเพอปรบใหเหมาะสมแกระดบความปลอดภยหลายๆอนซงมความตองการความปลอดภย 2 วธในการพฒนาพนทความปลอดภยในการเพมความปลอดภย ทเคลอนยายเขาไปลกกวาในเครอขาย(ตวอยางแสดงใน

รปภาพ 3.12) หรอการพฒนาพนทตองการในเครอขายโดยไมคำานงถงแบบโครงสรางของเครอขาย

เมอพนทความปลอดภยถกพฒนาเพอเพมความปลอดภยเชนเดยวกบขอมลจะยายเขาไปลกวาในเครอขาย เขาไปฝงในเครอขายสมบรณ ดงรปท 3.13

รปท3.13พนทความปลอดภยทฝงภายในซงกนและกนในระดบความปลอดภยทดเหมอนเปนชนของการบรการเชอมสายขอมล

สามารถดำาเนนการไดท นท กบช นท อยในสดท มระดบสงท สดของความปลอดภย

พนทความปลอดภยคออาศยความตองการพนฐานดานความปลอดภยหลายๆอยางในการตดสนใจ ขนตอนการวเคราะหความตองการ การประมวลผล และการอธบายถงความปลอดภย และการวางแผนทเปนความลบ อาจจะมความตองการความปลอดภยทมระดบทแตกตางกน ซงผใชจบกลมเปนค การใชโปรแกรมของเขา อปกรณของเขา และอปกรณทแชรการใชรวมกนของผใช พนทความปลอดภยทพฒนาขนเพอความตองการนนอาจเปนความหางไกลกน โดยผานเครอขาย เพอใหสอดคลองกนกบผใชงานแตละคนซงกนและกนดงตวอยางในรปท 3.14

ในรปแสดง พนทความปลอดภย 5 โซน โดยมความตองการความปลอดภยทแตกตางกน โซนท 1 (ระดบความปลอดภยท 1 ) ครอบคลมเครอขายทงหมด ซงไดจดความปลอดภยใหกบผใชทงหมด รวมทงโปรแกรม และอปกรณ และสงนอาจรวมถงการตรวจสอบการบกรกและการลอคอน โซนท 2 (ระดบความปลอดภยท 2 ) จดเตรยมระดบความปลอดภยทมระดบสงกวาระหวางเครอขาย และเครอขายภายนอกทงหมด สงนอาจรวมถง NAT และ ไฟววอลล

โซนท 3 (ระดบความปลอดภยท 3 ) ไดจดเตรยมระดบความปลอดภยหลายๆระดบสำาหรบกลมผใชทงหมด โปรแกรม และอปกรณ(กลม D) ซงมความตองการความปลอดภยแตกตางจากสวนอนของเครอขาย เปนตนวา กลมนอาจจะจดการเกยวกบการเงนหรอขอมลทรพยสนของบรษท โซนท 4 (ระดบความปลอดภยท 4 ) จดเตรยมความปลอดภยไวสำาหรบสวนยอยของผใช โปรแกรม อปกรณจากหลายๆกลม (กลม A และกลม B) โดยเลอกผใช โปรแกรม และ อปกรณ ซงมความตองการความปลอดภยทแตกตางจากกลมอนๆ เปนตนวา เขาอาจจะทำางานในบรษททมการแบงหนาทออกเปนสวนๆ การผลตขอมลทตองการคมครองจากสวนขอมลของกลม โซนท 3 และโซนท 4 กจะใชประโยชนของกลไกนน

รปท 3.14การพฒนาพนทความปลอดภยของเครอขาย

การปกปองขอมลของเขาทงหลายเชนเดยวกบการสรางรหสลบ/การถอดรหสลบ และอาจมรการปองกนการเขาถงโดยไฟววอลลหรอ packet filtering โซนท 5 (ระดบความปลอดภยท 5 ) ถาความปลอดภยของอปกรณโดยมผใชหลายคน เชน เครองแมขาย พนทในการใชตดตาม การลอคอน และความนาเชอถอทพสจนการเขาถงของผใช

รปภาพท 3.12 3.13 และ 3.14 แสดงกลไกความปลอดภยทใชในเครอขายทใชระดบความปลอดภยหลายระดบหรอโซนหลายโซน

3.6.2 ความสมพนธภายในการทำาปฏกรยากบความปลอดภยของสถาปตยกรรม รวมถงการแลก

เปลยน การควบคมจำานวนกลไกความปลอดภยส ำาหรบเครอขายของคณ ตวอยางเชน กลไกความปลอดภยตองมความสามรถทจะด เพม หรอแกไขขอมลขาวสารตางๆทเปนไฟลหรอแพคเกต NAT และเปลยน IP อางองตำาแหนง ขอมลขาวสารระหวางสาธารณะ และโดเมนตำาแหนง ทอยสวนตว การสรางรหสลบ/การถอดรหสลบ กลไกนำาขอความขอมลขาวสารมาเขารหสเปนไฟล ทำาใหพวกเขาไมสามารถอานไดรวมทงกลไกอนๆดวย

3.6.3 ความสมพนธภายนอกความสมพนธภายนอก การแลกเปลยน และการควบคมระหวาง

สถาปตยกรรมความปลอดภย ในแตละอนของสวนประกอบของสถาปตยกรรม

รปท 3.15 กลไกความปลอดภยอาจจะจำากดหรอทำาใหเปนไปไมได จากการปฏบตใน

พนทแตละอนการจดเสนทาง การจดการเครอขาย การปฏบต และสวนประกอบอนๆของสถาปตยกรรมทคณพฒนาขน) ทรวมกนจำานวนหนง ทแสดงอยขางลาง

ปฏกรยาระหวางความปลอดภยและทอางองตำาแหนง/การจดเสนทาง NAT คอตำาแหนงทอยทกลไกใชขยายความปลอดภยใหสงขน ดงนน เมอมนใชความปลอดภย มนจะมผลตอทอางองตำาแหนงในเครอขาย นอกจากน การเคลอนทของตำาแหนงทอยสามารถเปนอสรรคตอตำาแหนงทระบไวในเคร องปองกนและการลอคอน มนยากทจะตดสนใจดำาเนนการเมอ IP ตำาแหนงทอยถกเปลยนบอยๆ

ปฏกรยาระหวางความปลอดภยและการจดการเครอขาย ความปลอดภยขนอยกบการจดการเครอขาย การคอนฟก จอภาพ การจดการ และพสจนระดบความปลอดภยของเครอขาย นอกจากน มการปองกนรกษาไวเมอมการถกโจมต เมอมการเขาถงโดยอปกรณทใชประโยชนไมได เปนตนวา เมออปกรณไมอยทตำาแหนงเดยวกน การเชอมตอสำาหรบออกจากทางเขาจะมศกยภาพทลดลงจากตำาแหนงทใช

ปฏกรยาระหวางความปลอดภยและการปฏบต ความปลอดภยและการปฏบตทเกดขนบอยๆ กลไกความปลอดภยทตดอยกบการปฏบตของเครอขาย พนทความปลอดภยทอธบายลาสดในบทนสามารถบงคบการปฏบตภายในพนทอธบายจากโซน เมอความปลอดภยมสทธสง กลไกความปลอดภยกจะตดกบการไหลของจราจรทมการจำากดของกลไกและการปฏบตทจะกระทำาในพนทความปลอดภย หรอผลลพธคอการปฏบตทลดขนาดลงกบพนทนน

เมอมการปฏบตทมสทธสง โดยเฉพาะเมอจดเตรยมการปฏบตของผใชการเลอกจำานวนผใช โปรแกรม หรออปกรณ การกระทำาของกลไกปองกนการใชเกยวกบการบกรกลวงลำาในพนทเหลานนของเครอขาย

3.7 บทสรปในบทนทเรากลาวมาถงกลไกความปลอดภยททมความสามารถตางๆทม

อยในกลไกของความปลอดภย สำาหรบสถาปตยกรรมความปลอดภยของคณ รวมถงความปลอดภยทางกายภาพ โปรโตคอล และความปลอดภยโปรแกรม การสรางรหสลบ/การถอดรหสลบ และการกำาหนดสทธการเขาใช รวมทงการเขาถงความปลอดภยแบบรโมท (remote access security) โดยการ

วเคราะหความตองการจากขอมลพนฐาน เราพฒนาสงทนำาเขามาใชสำาหรบความปลอดภยและการวางแผนทเปนความลบขององคกรโดย เราจะกลาวถงสวนประกอบทงสองทมความสมพนธภายในและความสมพนธภายนอก สำาหรบสถาปตยกรรมความปลอดภย

บทท 4หลกการความปลอดภยของระบบเครอขาย

จากการปฎเสธการบรการการโจมตแฮกเกอรทหาประโยชนจากการทำาไมดทงนำาเอาจนาการของประชาชนและความเดอดดาลของเหยอ มบางเหตผลททำาใหโกรธ การตรวจสอบความปลอดภยของ

คอมพวเตอรทเกดจากความเสยหายของการบกรกคอมพวเตอรเฉลยราคา 970,000 ดอลลารตอบรษทในป 2000

ดงนนจงมการเจรญเตบโตทางตลาดมากขนสำาหรบการคนหาการบกรกแผนกนนประกอบดวยการตรวจสอบและตอบสนองตอการรกรานทกำาหนดโดย IDC ตรวจสอบการบกรกตลาดทเตบโตจาก 20 ลานดอลลารถง 100 ลานดอลลารในระหวางป 1997 และป1999 และคาดวาจะบรรลผลสำาเรจไปถง 518 ลานดอลลารกอนป 2005

ถงอยางนนความสามารถของระบบการตรวจสอบการบกรกปจจบนเปนทยอมรบกนโดยทวไปอยางกวางขวางขณะทไมเพยงพอโดยเฉพาะอยางยงในสงแวดลอมของการคกคามทอาจกำาลงพฒนา 2 ทางแกไขปญหากบระบบทใชกนอยในปจจบนทพวกเขาฝดเคองและอตราการกาวหนาทเปนเทจขณะทผลลพธเหลานคอความขาดแคลนการใชการตรวจสอบการบกรกทเปนพนฐานคอการเฝาสงเกตกบการวดประสทธภาพการทำางานมากกวาความเปนจรงสวนประกอบของสถาปตยกรรมระบบการปองกนบนราคาปกตกบตวปองกนและการสรางรหสลบ

อยางไรกตามผจำาหนายจำานวนหลายคนทำางานเพอฟงการแนะนำาระบบการตรวจสอบการบกรกในสถานการณจรงถาระบบการตรวจสอบการบกรกสามารถทำางานในเวลาจรงทเกดขนกบเศษสวนเลกๆเทานนทเปนเทจแนนอน เขาสามารถใชตอบสนองตอการรกรานโดยทำาใหหนเหความสนใจการบกรกหรอตดตามผกระทำาผด

ระบบการตรวจสอบการบกรก(IDSs)ซงถกวางแผนหรอคดไวลวงหนาในรปแบบมากมายตงแตการวเคราะหซงเปนสถตทเปนรปแบบดงเดมกำาลงเปนซองโจรของการบกรก วนนเทคนค IDS โดยปกตเปนความลบทางราชการเชนเดยวกบการตรวจสอบสญญาณหรอการตรวจสอบความผดปกตการตรวจสอบสญญาณทเปนพนฐานผลลพธทเปนเหมอนกนของสญญาณทเปนความรของการบกรก

ในความแตกตางการตรวจสอบสงผดปกตมพนฐานทเปนสถตหรอความรทเปนเทคนคทฤษฏผลลพธซงเบยงเบนจากปกตเชนเดยวกนกบความรจะเปนผลรายในอนาคตหรอไมขณะทผลลพธระบบจะไมเขาใจนาเสยดายระบบการตรวจสอบสงผดปกตทมแนวโนมการพสจนผลลพธอยางทจรตทเปนผลรายดงนนบทนไมอางองตำาแหนงวธพนฐานทผดปกต

ในขณะทระบบสญญาณพนฐานมความนยมอยางมากเมอเปรยบเทยบกบเครองมอและความสามารถของพวกเขาไดคนหาเครองมอธรรมดาๆทเคยใชมากอนระบบการตรวจสอบ lightweight Snort เปนหนงตวอยางทมความนยมมากกวาเนองจากอสระของมนใชประโยชนไดและมประสทธภาพ

ใหความสำาคญการเตบโตของการตรวจสอบการบกรกในเวลาจรงการตรวจสอบการบกรกจดหาแหลงขอมลทมคาของแบบแพคเกจนสามารถไดรบประโยชนจากคำาสงระบบเครอขายดงนนตวอยางบทสามนนสามารถเปนภารกจทมความสำาคญทเกดขนในสงแวดลอมของการตรวจสอบการบกรก ภารกจทหนงคอการวเคราะหจบคสตรงสงทแกปญหาการตดขดในระบบสญญาณพนฐานแบบทวๆไปอาทเชน Snort ภารกจทสองคอการตอบสนอง สบคน สงทกำาลงพฒนามความสำาคญในความสามารถของผบกรกทใชวธการปลอมแปลงทมาของแหลงขอมล ภารกจทสามคอการวเคราะหการตรวจสอบการโจมตของไวรสตวใหมยกเวนความรทมมากอน

สามภารกจเหลานเพยงแคขดคยพนผวทกวางใหญเพอตองการสำารวจทนนพวกเขาเลอกจดสญญาณของความมนคงชวงของปญหาโครงสรางทเปนไปไดของสงทใชในงานตางๆอยางเชน Bloom filters และแผนผง Aho–Corasic สงนนอาจจะมประโยชนในสภาพแวดลอมทวไปมากกวาการตรวจสอบไวรสทถกเลอกโดยแสดงชนสวนของเครองจกรสามารถนำามารวมกนในวธทมประสทธภาพ

บทนถกจดระเบยบดงตอไปนอยางแรกหนวยสำารวจวธแกปญหาสำาคญของการคนหาเพอความตองการทราบเสนทางใน packet payloads เครองมอทเปนทยอมรบของระบบการตรวจสอบการบกรกอยางเชน Snrot (www.snort.org) การทำา Mulitple Passes ดวย ขอท4.1.1 อธบาวธคด Aho-Corasick สำาหรบคนหาเสนทางหลายเสนทางใน 1 Pass การใช Trie กบ Backpointers ขอท4.1.2 บรรยายลกษณะทวไปของคำาสง Boyer-Moore บางครงสงทสามารถกระทำาไดเรวโดยการขามบทในแพคเกท

ขอท 4.2 การแสดงวธเขาใกลปญหาทยากจะแกไขประมาณการจบคเสนทาง ม2 ขอแนะนำาเกยวกบความคดทมประสทธภาพของการเขยนถงขอมล Minwise โดยตรงและสมวางโครงการขอนแนะนำาเกยวกบงานทมความซบซอนอยางเชนประมาณการจบคเสนทาง Plausibly ทำาใหมผลตอสายความเรว

ขอท4.3 เครองหมายการเปลยนแปลงของปญหาของการโตตอบเพอการโจมตโดยการแนะนำาปญหาของ IP Traceback และมนยงแสดงการแกปญหาเกยวกบตนแบบความเปนไปไดเครองหมายของแพคเกจ

ขอท4.4 ขอเสนอแนะการแกปญหา 1 ใน 2 ซงใชลอคแพคเกจและไมมการเปลยนแปลงแพคเกจรายงานไดเพมประสทธภาพการใชเทคนคสำาคญทเรยกวา Bloom Filter ขณะทการแกปญหา Trace Back เหลานไมนาเปนไดมากกวาเพอจดเรยงใหเหมาะสมเมอเปรยบเทยบกบมาตรฐานเขาแนะนำาปญหาและอางองเทคนคสำาคญทมประโยชนกบเนอหา( Contexts)อนๆ

ขอท4.5 อธบายเทคนควธคดทเคยใชคดลอกสตรงโดยอตโนมตทใชระบบการตรวจสอบการบกรกอยางเชน Snort ในคำาอนๆแทนทสตรงเหลานถกตดตงดวยมอโดยผชำานาญการวเคราะห

ความปลอดภยระบบสามารถแยกสตรงทนาสงสยไดโดยอตโนมตเราอภปรายเกยวกบการใหพนฐานในเนอหาตรวจสอบการโจมตของไวรส Payloads.

เทคนคเครองมอสำาหรบความปลอดภยแบบดงเดมอธบายในบทน(และหลกการทตรงกน)ถกสรปในรปท 4.1

4.1 การคนหาเสนทางหลายเสนทางใน Payloads แพคเกจหมายเล

ขหลกการ ใชใน

P15 การใช Aho-Corasick รวมสตรงทจบคSnort

P3a,5a โดยประมาณคสตรงทใชสำาหรบการเขาถงขอมล Min-wise โดยตรง Altavist

aP3a เครองหมายความเปนไปไดทใชสรางเสนทาง

ใหมอกครง Edge samplin

gP3a แพจเกจทมประสทธภาพทบนทกผานตว

กรองโปโตคอล SPIEP3a การตรวจสอบไวรสโดยการตรวจสอบตาม

จำานวนทมอยเปนประจำา EarlyBird

รปท 4.1 หลกการทใชในเครองมอของความปลอดภยพนฐานตางๆทอธบายไวในบทนแนะนำาเพมเตมขอท 4.1.1 และ 4.1.2 แสดงวธการคนหาเสนทางหลายเสนทางใน Packet Payloads โดยการคำามลฐานสำาหรบสญญาณพนฐาน IDS คำาสง Aho–Corasick ของขอท4.1.1 สามารถเพมอปกรณไดงายขณะทแนวความคด Traceback ในขอท4.4 คอไมนาเปนไปไดทจะมประโยชนในอนาคตอนใกลขอแนะนำาโครงสรางขอมลทสำาคญถกเรยกวา Bloom Filter

สำาหรบการแสดงบรรยายเกยวกบตดตงเครองมออปกรณ Bloom filters มการคนพบความหลากหลายของวธใชและสวนประกอบททำาใหเกดประโยชนดวยวธการตางๆนาๆ ขอท 4.5 อธบายสญญาณสำาหรบการโจมตทสามารถคำานวณไดโดยอตโนมตเพอลด

อยางแรกทมเลกนอยของการหยดปญหาของการตรวจสอบการบกรกโดยคนหาขอสงสยเสนทางใน Payloads จำานวนตวเลขมากมายของการโจมตสามารถตรวจสอบวธใชของเสนทาง ยกตวอยางเชน แพคเกจนจะพยายามดำาเนนการแปลชดคำาสง Perl ถาม Perl .exe ใน Payloads ตวอยางเชนฐานขอมล ArachNIDS ของ Vulnerabilities ประกอบดวยคำาอธบายดงตอไปนความพยายามในการดำาเนนการ Perl.exe ถาชดแปลคำาสง Perl มอยในเวบไซตมนสามารถถกใชดำาเนนการคำาสงตามอำาเภอใจบนเครองเวบเซรฟเวอรสงนสามารถถกใชเพอบกรกเขาไปในเครองเซรฟเวอรรบขอมลขาสารไวตอการตอบสนองและความสามารถทเปนไปไดในการใชประโยชนของเวบเซรฟเวอรและระบบปฏบตการทกำาลงทำางานอย ผบรหารเวบเซรฟเวอรหลายคนไมสนใจคดลอกชดแปลคำาสง Perl เขาไปใน Script Directories ของเวบเซรฟเวอรถา Perl ททำางานดวยตวเองจากไดเรคทอร Cgi แลวสามารถควบคมผบกรกทดำาเนนคำาสงตามอำาเภอใจบนเวบเซรฟเวอร

การสงเกตการณนำาเทคนคพนฐานมาใชตรวจสอบการบกรกสญญาณพนฐานใน Socalled เชน Snort แนวความคดในการตดตงและแสดงผลของ Router ประเภททชอบมากอยางไร Snort เปนกฎชนดทอนญาตใหกฎ 5 ขอในการควบคมกำาหนดชนดของแพคเกจ(เชน หมายเลขพอรทเทากบการจราจรบนเวบ)บวกกบ String ทปรากฏโดยพลการในแพคเกจของ Payload ดงนนกฎ Snort สำาหรบความพยายามทจะดำาเนนการ Perl.exe จะระบโปรโตคอล (TCP) และพอรทปลายทาง(สำาหรบ 80 เวบ)ทเหมอนกบ String “Perl.exe”ทเกดขนใน Payload ถากฎการจบคของแพคเกจนการเตอนภยถกสรางขน Snort ขยายระบบควบคม 300 เทาดวยการคนหา 300 String ทเปนไปได

เวอรชนลาสดของ Snort ทำาการคนพบสตรงโดยการจบคของแตละแพคเกจในกฎของ Snort สำาหรบกฎแตละขอนนมการ

แนะนำาเพมเตมขอท 4.1.1 และ 4.1.2 แสดงวธการคนหาเสนทางหลายเสนทางใน Packet Payloads โดยการคำามลฐานสำาหรบสญญาณพนฐาน IDS คำาสง Aho–Corasick ของขอท4.1.1 สามารถเพมอปกรณไดงายขณะทแนวความคด Traceback ในขอท4.4 คอไมนาเปนไปไดทจะมประโยชนในอนาคตอนใกลขอแนะนำาโครงสรางขอมลทสำาคญถกเรยกวา Bloom Filter

สำาหรบการแสดงบรรยายเกยวกบตดตงเครองมออปกรณ Bloom filters มการคนพบความหลากหลายของวธใชและสวนประกอบททำาใหเกดประโยชนดวยวธการตางๆนาๆ ขอท 4.5 อธบายสญญาณสำาหรบการโจมตทสามารถคำานวณไดโดยอตโนมตเพอลด

แยกประเภทจบค Snort ททำางานบน Boyer-Moore คนหาบนสตรงทเหมอนกนความเปนไปไดของการคนหาหลายสตรงตอหนงแพคเกจตงแตสแกนแตละแพคเกจทมราคาแพงธรรมชาตของคำาถามคอสามารถคนหาความเปนไปไดของสตรงทงหมดในแพคเกจหรอไม

มสองวธคดทสามารถใชกบจดประสงคนวธคด Aho-Corasick และวธคดของการแกไข Commentz-Walter ซงเราจะอธบายตอไป

4.1.1 รวมสตรงทจบคใชAho-CorasickTrie สามารถใชเพอคนหาสตรงทตองการรตำาแหนง

ของแพคเกจ ดงเชน รป 4.2 ประกอบดวย Trie ทสรางบนสวนหนงของสองสตรง “ babar” และ “barney” ทงสองตวอกษรซเปนทรจกกนดในวรรณคดของเดก Trie ถกสรางบนตวอกษรและไมอยบนกลมโดยพลการของบทตวอกษรในขอความถกคนหาเพอใชตดตามจดผาน Trie กระทง Leaf สตรงถกคนพบหรอกระทงเกดความลมเหลว

สวนทยากทสดอยางไรกตามกำาลงมองหาสตรงทสามารถเรมตนใน Payload แพคเกจกลยทธงายๆททำาใหถงจดหมายโดยการรบเอาสตรงเรมท 1 ไบทของ Payload และตดผาน Trie แลวถาเกดความลมเหลวเราสามารถเรมตนอกครงทตำาแหนงสงสดของ Trie กบตวอกษรซงเรมตนท 2 ไบท

อยางไรกตามถาไบทของแพคเกจหลายรปแบบ “near misses” กบสตรงเปาหมายหลงจากนนแตละจดเรมตนมความเปนไปไดสามารถคนหาสงทตดผานเพอปดจดสงสดของ Trie ดวยเหตนถา Payload มไบท L และ Trie มคาสงสด h วธคดทสามารถใช L คณ h ตามเอกสารอางองหนวยความจำา

ยกตวอยางเชนเมอการคนหา “babar” ใน Payload ของแพจเกจแสดงในรปท 4.2 วธคดแบบงายๆอยางสนกสนานลง Trie

กระทงไปถง node ทสมพนธกนในลำาดบทสอง “a” ใน “babar” ทจดนนแพคเกจตอไปไบทเปน “b” และไมเปน “r”ตองการพฒนาใน Trie กลยทธงายๆทใชสำารองขอมลเรมตนของ Trie และเรมการคนหา Trie อกครงจากไบททสอง “a”ในแพคเกจ

รปท 4.2 วธคด Aho-Corasick สรางอกษร Trie บนการตดตงการคนหาของสตรงสำาหรบการคนหาสตรง “babar” สามารถถกคนพบโดยปฎบตตามจดรากฐาน “b”โหนด “a” จดตอไปอนๆนาสนใจมากขน Trie ถกขยายจดลมเหลวซงปองกนการเรมตนจดสงสดของ Trie เมอความลมเหลวเกดขนและพยายามทำาการจบคใหมในตำาแหนงการเปลยนแปลงทเหมาะสม

อยางไรกตามมนไมยากเพอดการสำารองขอมลสงสดเปนการเขาใจในการทำาลาย (P1)เพราะวาไปทของแพจเกจตรวจดอยางกวาง

ขวางในการคนหา “babab” ม “ba” เปน Suffix ซงเตมเขาไปขางหนาของ “babar”เนองจากมากกวาการสำารองขอมลสงสดสามารถ Precompute (ถงแมวาในตารางการทดรอง) ตวชความลมเหลวทคลายคลงกนของขอบกพรอง “b” ซงยอมคนหาโดยตรงในโหนดทสมพนธกนของเสนทาง “ b” ใน Trie แสดงจดซายสดของสวนโคงในรป 4.2 ดงนนมากกวาไบทท 5 (a “b”) ทำาใหเกดจดทไมสำาคญมนจะอยใน Trie ปกตมนประกอบดวยจดลมเหลวนซงจดสำารองขอมล Trie คนหารายไดโดยตรงจากโหนดทใชใบทท 6 “a” (ซงตรงขามไบททสอง)และเลดหลงจากไบทท 7 “babar” คนหาอปกรณไดงายหลงจากคำานวณ Trie สงนไมยากเพราะเชอวา Trie กบตวชความลมเหลวรปแบบโดยพนฐานสภาพแวดลอมระบบปฎบตงานวธคด Aho-Corasick มความซบซอนซงเมอตดตามการคนหาของสตรง,R, Suffix ของการคนหาสตรงอนๆ,S อยางไรกตามความปลอดภยในเนอความสามารถถกหลกเลยงโดยทำาใหหายกงวลในขอจำากดสามารถยายสตรง S จาก Trie และภายหลงเชคทงสองแพคเกจทจบค r หรอ s

ความสมพนธอนๆคอจดของตวเลขมากมายทเปนไปได (256) ใน Aho-Corasick trie สงนสามารถทำาใหมนยากเพอความเหมาะสม Trie สำาหรบการตดตงสตรงมากมายในแคช (ในโปรแกรม)หรอใน SRAM (ในอปกรณฮารดแวร)หนงทางเลอกทตองใชทำาใชพดรปแบบ Lulea การเขารหสเพอบบอดขนาดโหนดของ Trie

รปท 4.3 การผสมผสาน Boyer-Moore โดยชวงเวลาการทำางานของตวอกษร

4.1.2 การผสมผสานการจบคสตรงทใช Boyer-Moore

วธคด Boyer-Moore เปนทรจกกนดสำาหรบการจบคสตรงเดยวสามารถไดรบโดยการเขาใจมระดบความสนใจของอสระนนสามารถถกเอาเปรยบ(13) ในการจบคสตรงสงหนงสามารถเทาเทยมกนเมอเรมเปรยบเทยบหวขอสำาคญและสตรงเปาหมายจากตวอกษรลาสดถงตวแรกดงในรป 4.3 เรมตนการคนหาตวอกษรท 5 ของแพกเกจ a, “b” และจบคตวอกษรตวท 5 ของการพด “babar”(แสดงขางลางแพกเกจ) r หนงตวเมอสงนลมเหลวหนงวทยาการศกษาในวธคด Boyer-Moore เปนชวงเวลาการทำางานคนหาแมแบบของ “babar” 2 ตวอกษรทถกตองการปรากฎการจบคของ “b” ในแมแบบ การกลาวอางชอเสยงของ Boyer-Moore ในทางปฎบตมนขามผานตวเลขจำานวนมากของตวอกษรพดไมเหมอนกนวธคด Aho-Corasick

กลาวโดยสรป Boyer-Moore หลายสตรงจตนาการวธคดทเกดพรอมเปรยบเทยบตวอกษรตวท 5 ในแพกเกจอกษรตวท 5 “e” ในสตรงอนๆ “barney”(แสดงขางบนแพกเกจ)ถากำาลงทำา Boyer-Moore กบ barney barney คนหาแมแบบทเคลอนทถกตองโดย 4 ตวอกษรทจบค “b” ใน barney เทานนเมอทำาการคนหา “barney” และ “babar” ทงครวมกนแนวความคดทชดเจนจะเลอนคนหาแมแบบโดยการเคลอนเลกนอยซงถกเสนอโดยบางสตรงทเปรยบเทยบสำาหรบดงเชนในตวอยางนเราเลอนแมแบบโดยสองตวอกษรและทำาการเปรยบเทยบตอไปกบตวอกษรตวท 7 ในแพคเกจ

ทำาการเปรยบเทยบรวมกนกบตวอกษรตวลาสดในการคนหาสตรงทงหมดอาจจะดเหมอนไรประสทธภาพสงนสามารถดแลไดดง

ตอไปนครงแรกปดตวอกษรทงหมดในการคนหาสตรงทงหมดทอยหลง L เปนการคนหาสตรงทสนทสด ดงเชนในรปท 4.3 L คอ 5 และ “barney” ถกตดออกส “barne” เพอจดใหอยในระยะทางเดยวกนกบ “babar”

4.2 โดยประมาณการจบคสตรงเพราะทำาใหเปนแนวเดยวกนทงหมดการคนหาสตรงทแยกออกในระยะเวลาเดยวกนตอนนสราง Trie ทเรมถอยกลบจากตวอกษรลาสดในการตดสตรงดงเชนในตวอยางของรป 4.3 รากโหนดของ Trie ม “e’ เปนตวชหวขอไปยง “barne”และตวช “r”ไปยงหวขอ “babar” ดวยเหตนการเปรยบเทยบทเกดพรอมกนตองการใชอตราการไหลของตวอกษรแพคเกจดชนเขาไปในโหนด Trie บนความสำาเรจหลง Trie ควบคมสงกดขวางบนความลมเหลวรวมการเคลอน Precomputer ในตวชความลมเหลวในตอนทายแมวาถอยการคนหาผาน Trie เพอหาเสนทางความสำาเรจของชวตขอเทจจรงในตอนทายอาจจะตดความตองการบทสงทายของงานเกยวกบการตรวจตดตวอกษรคเชนเดยวกนสำาหรบเหตผลเลกๆการตดตงของสตรงวธทำานดกวา Aho-Corasick กลาวโดยสรป Boyer-moore ซงถกเสนอโดย Commentz-Walter โปรแกรมคอมพวเตอรใชตรวจสอบการบกรกดดยเสนอรวมกนโดย Coit Staniford และ McAlerney และ Fisk และ Varghese เครองมอ Fisk ถกใชเพอ Snort

นาเสยดายการปรบปรงการกระทำาของการใช Aho-Corasick เชนเดยวกนหรอผสมผสาน Boyer-moore ทนอยทสดเพราะวาตามรอยจรงการจบคแพคเกจตวเลขมากมายของสตรงการทำาใหวธการงายขนอยางด

ในความเปนจรงวธคดใหมเพมอะไรทเหนอกวามากเนองจากจำานวนการเขารหสมความซบซอนมากขนสงไหนทสามารถแสดงผลกระทบแคช

ขณะทเขารหสในปจจบนมการปรบปรงจดยนความตองการทเพมมากขนมนคอการทำาใหชดเจนอยางนอยทสดเวอรชน A ho-Corasick ผลตการปรบปรงครงใหญสำาหรบตามรอยสงทผดพลาดซงอาจจะรนแรงสำาหรบเครองมออปกรณการใชของ Aho-Corasick และการผสมผสาน Boyer-Moore สามารถถกพจารณาโปรแกรมคอมพวเตอรโดยตรงของโครงสรางขอมลทมประสทธภาพ(15)

สวนนพจารณาสรปปญหาทยากจะแกไขโดยประมาณทตรวจสอบสตรงใน Payloads ดวยเหตนแทนทการยอมรบคทแนนอนหรอคำานำาหนาคขอจำากดใหมทอนญาตใหมขอผดพลาดเลกนอยในการจบคสำาหรบตวอยางดวยการแทรกใน “Perl.exe” ควรจบค “Perl.exe” ซงผบกรกอาจจะเพมตวอกษรขณะทความปลอดภยทเกยวของกบการใชอธบายกลไกตอไปตองการความคดทมากกวาตวกลไกทมประสทธภาพและควรจะใชชนสวนคลงอปกรณของผออกแบบกลไกการตรวจสอบ

แนวความคดพนฐานแรกสามารถจดการแทนทขอผดพลาดการแทนทขอผดพลาดคอการแทนทของหนงตวอกษรหรอมากกวานนอนๆสำาหรบตวอยาง “Parl.exe” สามารถถกรบจาก “Perk.exe” โดยการใช a แทนสำาหรบ e ทางเดยวทจะประสบความสำาเรจนคอการไมคนหาสำาหรบสตรงทสมบรณแตสำาหรบหนงหรอมากกวาหนงการสมการวางโครงการของสตรงตนฉบบ

รปท 4.4 การตรวจสอบสำาหรบการจบคสมการวางโครงการของสตรงเปาหมาย “babar”ยอมตรวจสอบสตรงทเหมอนกบการแทนทขอผดพลาดใน Payload

สำาหรบตวอยางในรปท 4.4 แทนการคนหา “babar” สามารถคนหาครงแรก,ครงทสาม,และครงทสตวอกษรใน “babar”ดงนนสตรงสะกดผด “ babad” จะถกคนพบเพราะวาการวางแผนพเศษนจะไมพบสตรงทสะกดผดเชน “rabad”ทำาใหมนยากสำาหรบศตรแผนโดยทวๆไปสามารถใชตดตงเลกๆของการสมการวางโครงการแนวความคดเบองตนกลาวโดยสรปอยางสงในการตดตงของเอกสารบนตำาแหนงทรกษาการเขาถงขอมลโดยตรง

อยางนาสนใจใชการสมวางโครงการอาจจะทำาใหยากถงประสทธภาพเคลอนตวอกษรหนงตวทเหมาสมหนงทางเลอกในการแทนทสมวางโครงการโดยปองกนโครงการสำาหรบตวอยางถาแทนทสตรงทงหมดโดยแบงมนเปนสองสวนและตำาแหนงแตละครงใน trie aho-corasick หลงจากการแทนทผดพลาดจะพบโดยปราศจากการประมวลผล Aho-Corasick อยางไรกตามประสทธภาพจะสนสดขนอยกบตวเลขของสญญาณผด

แนวความคดการสมโครงการอยางงายการบรรยายลาสดไมทำางานกบการบกรกหรอการลบออกทสามารถทำาใหยายแตละหนงตวอกษรหรอมากกวาสงทมอยซายหรอขวาหนงวธงายๆและมประสทธภาพของการตรวจสอบทงสองหรอมากกวานนตดตงของตวอกษร พดวา Abcef และ Abfecd ซงคลายโดยการคำานวณทเหมอนกน

ความเหมอนกนของ 2 ชดของตวอกษรทเปนอตราสวนขนาดของจดตดขนาดของการรวมกนโดยสญชาตญาณความเหมอนกนทสงกวาโดยนยามนความเหมอนกนของ Abcef และ Abfecd คอ 5/6 เพราะวาเขาม 5 ตวอกษรในคอมมาน

อยางนาเสยดายความเหมอนกนโดยตวมนเองไมพจารณาคำาสงดงนน Abcef อยางสมบรณเหมอน Fecab ทางหนงทจะซอมแซมเขยนใหมประกอบดวยคำาสงตวเลขแนบ abcef กลายเปน 1a2b3c4e5f ขณะท fecab กลายเปน 1f2e3c4a5b ความคลายคลงกนการใชคของตวอกษรเทากนจดเตรยมแทนทตวอกษรคอการไมมอะไรวธอนๆจบคำาสงมากกวาวธการผอนคลายเปนรปแบบ Shinges 2 ตวเปรยบเทยบใชความเปนไปได Substring ของขนาด K ของ 2 ชด

ความคลายคลงกนคอแนวความคดทดแตยงตองการเครองมอทมความรวดเรวเครองมองายตองการแยกประเภททงสองชดซงแพงและการใชเกบรกษายากแนวความคดของ Broder จะเปรยบเทยบอยางรวดเรว 2 ชดโดยสมคำานวณ(P3 การแลกเปลยนความแนนอนเปนเวลา)การเปลยนแปลงลำาดบทง 2 ชดสำาหรบตวอยางทใชไดจรงมากทสดการเปลยนลำาดบการทำางานบนจำานวนเตมของขนาดทมากทสด m-1 คำานวณ P(x)=ax+b Mod m สำาหรบสมคาของ a และ b และคาขนแรกของ Moduls M

สำาหรบตวอยางพจารณา 2 ชดของจำานวนเตม {1,3,5}และ{1,7,3}การใชสมการเปลยนลำาดบ {3x1 5Mod11} 2 เซตเรยงลำาดบกลายเปน {8,3,9}และ{8,4,3}สงเกตคานอยทสดของการสม 2 แบบเรยงลำาดบเซต ( i.e.,3)เดยวกน

โดยสญชาตญาณมนดไดงายคาทสงกวาทคลายคลงกนของ 2 เซตโอกาสทสงกวาสมการเปลยนลำาดบของ 2 ชดเดยวกนนอยทสดอยางเปนทางการเพราะวาเรยงลำาดบ 2 เซตจะเหมอนกนนอยทสดและถาบรรจองคประกอบเดยวกนทไดรบแผนรางทนอยทสดในการเรยงลำาดบเซตตงแตการสมเรยงลำาดบความคดทำาใหเทาเทยมกนทเปนไปไดสำาหรบองคประกอบนอยทสดหลงจากการเปลยนลำาดบองคประกอบมากกวา 2 เซตมสวนรวมกนสงกวาความนาจะเปนไปนอยทสด 2 ค

อยางละเอยดทสดความนาจะเปนนอยทสด 2 คเทากบความคลายคลงกนดงนนทางเดยวคำานวณความเหมอนของ 2 เซตทใชบางตวเลขของการสมเปลยนลำาดบ (Say,16)และคำานวณทงหมด 16 การสมเปลยนลำาดบของ 2 เซตเศษสวนของ 16 การเปลยนลำาดบในการจบค นอยทสดเปนสงทดของการประมาณของความเหมอนกน

แนวความคดทถกใชโดย Border ทตรวจสอบความคลายคลงกนของเอกสารเวบอยางไรกตามมนคอนขางจะเหมอนกนอยางเหมาะสมทจะเพมความเรวของการเชอมตอจะตองรกษาไมโครชพพดวา 16 บญชทเกบนอยทสดการใชแตละ 16 การสมฟงกชนเศษสวนเมอตวอกษรใหมถกอานเรยงลำาดบตรรกะตวอกษรใหมทกำาหนดแตละอนของ 16 เศษสวนภายในเสนขนานแตละอน 16 ผลลพธมาเปรยบเทยบกนในเสนขนานกบบญชทตรงกนและคาทะเบยนถกแทนทถาคาใหมเลกกวา

ในตอนทายคำานวณ 16 นอยทสดถกเปรยบเทยบในเสนขนานเปรยบเทยบกบ 16 นอยทสดสำาหรบจดมงหมายใชคำานวณ bitmap ทตงคาบทสำาหรบตำาแหนงในความเทาเทยมกนในตอนทายหมายเลขของชดบทหาผลรวมและหารดวยขนาดของ bitmap โดยเคลอนจากซาย 4 บทถาความคลายคลกนเหนอกวาบางคนทเจาะจงระดบเรมตนการประมวลผลทเพมขนเสรจสน

ครงหนงคำาสอนขอนไมใชทคำานวณความคลายคลงการแกปญหาอยทปญหาทงหมด(หรอในขอเทจจรงทเจาะจงปญหาตอนน)แตฟงกชนทซบซอนพอสมควรสามารถคำานวณในอปกรณการใชหลายฟงกชนทนำามารวมกน randomization และ parallelism การแกปญหาทมผลกระทบตอหลกการ P5 (ใชหนวยความจำาขนาน)และหลกการ P3 (ใช randomization)

4.3 IP TRACEBACK ผาน เครองหมาย PROBABILISTIC

การเปลยนแปลงสวนนจากปญหาของการตรวจสอบการโจมตถงการตอบสนองการโจมตคำาตอบสามารถนำาไปสความหลากหลายภาระกจจากการปองกนขอมลของการโจมตเพอหยดการโจมตโดยเพมเชคจำานวนหนงทเขามาในเราเตอรสองสวนถดไปทมงไปท Traceback ลกษณะสำาคญของการตอบสนองใหความสามารถของผโจมตการใชทอยขอมล IP ปลอมเพอเขาใจปญหา Traceback ชวยครงแรกเพอเขาใจบรการ CanonicalDenial ของ(Dos) โจมตการกระตนของปญหาใน หนงเวอรชนของการโจมต DOS เรยก SYN จำานวนมากมเลหเหลยมรบกวนผเจาะระบบเครอขายเรมเขาใจในเชาวนหนงมองหาความสนกและเกมสและตดสนใจเพอโจมต CNN ทำาดงนนเพอเขาประกอบคอมพวเตอรเครองนเรมยงดวยจำานวนตวเลขมากมายของการเชอมตอ TCP เพอตองการเครองเซฟเวอรแตละขอมลทอยปลอมทแตกตางเครองเซฟเวอร CNN สงการตอบสนองกลบตอความตองการ R และสถานท R ในระหวางลำาดบการเชอมตอเปนการเขาใจขอมลทอยไมมอยหรอไมเชอมตอสญญาณไมมการตอบสนองผลกระทบนสามารถทำาใหแนใจโดยการใชสมขอมลทอยและโดยความตองการเชอมตอทสงเปนระยะๆอกครงในทสดผใหบรการการเชอมตอจนกวาเตมควสงนปฏเสธบรการใหผใชทไมมพษภยมความปรารถนาเพออานขาว CNN เพราะวาเครองเซฟเวอรไมสามารถรบความตองการเชอมตอสนนษฐานแตละการปฎเสธของบรการการโจมตลกลอบสญญาณ (e.g,ความตองการเชอมตอ TCP )สงนนสามารถใชตรวจสอบการเรมของการโจมตใหมนยากทจะปดเครองเซฟเวอรสาธารณะทางเดยวทจะตอบสนองการโจมตนตามรอยเชนการปฎเสธของบรการกลบทตนกำาเนดขอมลถงอยางไรกตามการใชขอมลทอยปลอมนคอปญหาตามหา IP คอปญหาการใชความสามารถในการแกไขสถานการณอยางสมบรณจากเราเตอรเฝาสงเกตเมอมสงรบกวนผเจาะระบบเครอขายยอมใหเขา IP Subnetwork กบเตม s เขาไปขางหนาแพคเกจกบขอมลท

อย h ปลอมครงแรกบนเสนทางเราเตอรสามารถตรวจสอบขอเทจจรงถา h ไมจบค s สงนจะสอใหเหนสงรบกวนของแพคเกจไมสามารถปลอมแปลง Subnetwork และการกระทำาผดแพคเกจสามารถตามหานอยทสดเหมาะสม Subnetwork มสองความยากกบกลยทธนครงแรกตองการเราเตอรเสนขอบการประมวลมากกวากบขอมลทอย ครงทสองมนตองการความเชอถอไดของเราเตอรเพอการประมวลผลสงอาจจะยากทำาใหแนใจถาสงรบกวนผเจาะระบบเครอขายมความประนประนอมผใหบรการอนเตอรเนตของเขาครงทสองระบบกลยทธทไมมการพฒนาตองมผควบคมการตรวจสอบการโจมตเรยกวาผใหบรการอนเตอรเนตพดวาผใหบรการอนเตอรเนตเฝาสงเกตการลกลอบสำาหรบขณะทเขาใจแพจเกจทมาจากผใหบรการอนเตอรเนต B ตอมาเรยก B หลงจากนนตามรอยแพคเกจกลบทมากอนและจนกระทงตามรอยเสนทางนคอการแกปญหาทใชในปจจบน

การแกปญหาทดกวาคมอการใชจะลอกอตโนมตของแพคเกจกลบไปยงขอมลสนนษฐานสงหนงสามารถแกไขเราเตอรสำาหรบตอนนตอมาตามรอบแพคเกจทสามารถสำาเรจอยางไมสำาคญโดยมเราเตอรแตละอนในเสนทางของแพคเกจ P เขยนทอย IP ในลำาดบเขาไปในหวขอ P อยางไรกตามใหระยะเวลาเราเตอรรวมกนของ 10 สงนจะอยเหนอศรษะมากมาย( 40 ไบทสำาหรบ 10 IDS เราเตอร)โดยเฉพาะสำาหรบยอมรบขนาดนอยทสดนอกจากเหนอศรษะมปญหาของการแกไขหวขอ IP ทจะเพมสวนพนทสำาหรบการตดตามเสนทางมนอาจจะงายกวาขโมยจำานวนตวเลขนอยยงไมเคยใชขอความบท

สงนทำาใหเกดปญหาดงตอไปนการสนนษฐานแกไขเราเตอรไอออนบวกทเปนไปไดคนหาวธตามรอยเสนทางของการโจมตโดยทำาเครองหมายเลกนอยเทาทเปนไปไดในหวขอของแพคเกจสำาหรบการโจมตแพคเกจเดยวสงนยากมากในทฤษฎขอมลขาวสารอยางชดเจนมนเปนไปไมไดทจะสรางเสนทางของเราเตอร 10-32 บทจาก

IDS กลาววาทำาเครองหมาย 2 ไบทในแพคเกจสงหนงไมสามารถทำา Sill Pure จากความตงใจของการแพรหลาย

อยางไรกตามในระบบขอความสามารถใชใหเหมาะสมกบสงทคาดหวงไว (11)ตงแตการโจมตเปนทนาสนใจมากประกอบดวย 100 แพกเกจอยางตำาสดสมมตวาพวกเขาทงหมดมาจากขอมลทางกายภาพเดยวกนผประภยสามารถเลอนกระบวนการคำานวณขามเวลา (P2) โดยทำาเครองหมายแตละลกษณะเฉพาะทมสวนทำาใหสวนของเสนทางขอมลขาวสาร

ใหเรมตนโดยสมมตพนทเดยว 32 บทสามารถควบคม ID เราเตอรเดยวการเขาหาเสนทางเราเตอรทเกดขนพรอมกนอยางไรบนแนวโนมของแพกเกจเพอแทนท ID ในสวนพนทวธแกปญหาถกแสดงในรป 4.5 แนวความคดพนฐานแตละเราเตอรมอสระการเขยน ID เขาไปในสวนพนทโหนด ID เดยวในแพกเกจกบความนาจะเปนไปได P การเขยนทบ ID เราเตอรทผานมาอาจเปนไปไดดงเชนในรป 4.5 แพกเกจทเสรจสมบรณม r1 ในแพกเกจและสามารถเขยนทบโดย r3 ถง r1 กบความเปนไปได p หวงวาอยางไรกตามบนลำาดบใหญของแพกเกจจากการโจมตเหยอทก ID เราเตอรในเสนทางจะไดรบเลอกตำาแหนง ID ยกเวนการเขยนทบในตอนทายผประสบภยสามารถจดเรยง IDs ทรบโดยหมายเลขตวอยางโดยสญชาตญาณโหนดทใกลผประสบภยควรจะไดรบมากกวาตวอยางสงหนงทจะตองยอมสำาหรบสมการเปลยนแปลง

2 ปญหาทเกยวกบกลยทธงายๆเปนตวอยามากมาย (i.e. , การโจมตแพกเกจ)เปนความตองการลกคาสมการเปลยนแปลงในคำาสงสรปและผโจมตการรบรหลกการนเพอหลอกใหสรางหลกการใหมเขาไปเชอโหนดทไมจรงเพราะเขาใกลผประสบภยขดขวางการคกคามน P มความจำาเปนมากมายพดวา 0.51 แตในกรณนตองการหมายเลขของแพกเกจเพอรบ IDs เราเตอรทอยไกลจากผใชมากสำาหรบตวอยางกบ P=0.5 และระยะของเสนทาง L=15 หมายเลข

ของแพกเกจตองการคอจำานวนเลขทกลบกนของความเปนไปไดของเราเตอรทไกลทสดจากผใชสงเครองหมายทคงอยนคอ P (1−P )L−1=2−15 เพราะวามนตองการจดเครองหมายเราเตอรทไกลทสดและยงเหลออย L-1 ไมใชเราเตอรดงนนหมายเลขเฉลยของแพกเกจสำาหรบปรากฏการณนคอ 1

2−15=32,000 การโจมตหมายเลขของแพกเกจแตโดยไมจำาเปนมากมายนบทเรยนนโดยตรงจากวธการแกปญหางายๆโดยการสมคอสงทดสำาหรบ Synchronization (ทอนญาตใหเราเตอรดวยตวเอง Synchronize เขาสสวนพนทโหนด ID เดยวแตไมมการสรางคำาสงใหมการแกปญหาพนฐานน

รป 4.5 สรางการโจมตเสนทางใหมโดยมแตละเราเตอรทประทบ ID อยางอสระกบความเปนไปไดของ P เขาไปในสวนพนทโหนด ID เดยวเครองรบคำาสงสรางใหมโดยจดเรยงเปนทเขาวาการเขาใกลเราเตอรจะสรางตวอยางมากกวา

รป 4.6 การสมตวอยางขอบปรบปรงบนโหนดการสมตวอยางโดยสมตวอยางและไมใชโหนดสงนยอมใหคำาสงพนฐานใหมบนระยะหางและไมใชตวอยางความถ

ปญหาตองใชกระโดดนบ(ผโจมตสามารถจดเตรยมรปแบบการบนทกแตละแพกเกจกบความแตกตาง TTL การทำา TTL เพอใชยาก)ไดเหมอนกบ ID โหนดแตกระโดดนบโดยตวเองสามารถรสกสบสนถามการโจมตหลายอยางเขามาทำาเครองหมายอยางชดเจนของโหนด x กบการนบ 2 อาจสมพนธกบความแตกตางการโจมตเสนทางจากเครองหมายของโหนด Y กบการนบ 1 การแกปญหาภายใตเงอนไขทมอทธพลตอการพฒนาเอกสารหลกเลยงเนองจากการนบโดยเกยวกบความคดเรมดวยคของ IDs โหนดและการนบรปแบบ 3 เทา ( R,S,h)ทแสดงในรป 4.6

เมอเราเตอรR รบแพกเกจดวยสามเทา ( x,y,h) R ทำาใหเกดการสมตวเลขระหวาง 0 และ 1 ถาตวเลขนอยกวาการสมตวอยาง P ความนาจะเปนเราเตอร R เขยน ID ดวยตวเองเขาไปสามเทาเขยนใหมเปน ( R,-,0)ตวอกษรแสดงเราเตอรตวถดไปในเสนทางทยงตองถกกำาหนดถาสมตวเลขใหญกวา P ตอมาตองรกษา R ไวอยางสมบรณของทผานมาเขยนเครองหมายถา h=0,R เขยน R ทสวนพนททสองเพราะ R คอเราเตอรตวถดไปหลงจากเขยนของเครองหมายในตอนทายถาสมตวเลขทใหญกวา P R คอจำานวนทเพมขน h

มนควรจะชดเจนโดยสมมตวาทกๆเสนขอบไดรบตวอยางหนงครงผประสบภยสามารถสรางเสนทางใหมบนทกเชนเดยวกบการโจมตสามารถเพมแตงโหนดขนมาทเรมตนของเสนทางแตตองการหาเสนขอบแพกเกจทงหมดเทาไรใหการสงชดเจนเราสามารถใชคาความสำาคญไดตามอำาเภอใจ

โดยเฉพาะถา P โดยประมาณ 1/L L คอความยาวเสนทางทไกลทสดของเราเตอรความนาจะเปนการคำานวณกอนของระยะทางทไกลทสดในการสงเครองหมายเสนขอบนยงมอยกลายเปน)P(1−P)L−1

~ P/(1-P)e ซง e คอพนฐานของขนตอนปกตสำาหรบตวอยาง

สำาหรบ P=1/25 นคอ 1/70 อยางคราวๆทสมเหตสมผลมากมาเปรยบเทยบดวยความพยายามลาสด

สงทดเทากนถาเราเลอก P=1/50 พนฐานบนระยะเสนทางมากมายทแขงขนกนในทางปฏบตบนอนเตอรเนตความนาจะเปนไมพฒนาเลกกวาอยางมากเทากนสำาหรบระยะเสนทางทเลกกวามากสงนทำางายตอการสรางเสนทางใหมกบ 100 ของแพกเกจทตรงกนขามกบ 1000

ในตอนทายสงหนงทสามารถกำาจดของความชดเจน (P1) และหลกเลยงความตองการสำาหรบสองโหนด IDs โดยเกบเพยงอยางเดยวหรอสองสวนพนทในสวนพนทเดยวการทำางานถอยกลบจากเราเตอร ID ลาสดรถงผประสบภยสามารถนอกจากหรอกบขอบเครองหมายแตกอนทเราจะไดเราเตอรตวตอไปในเสนทางและดงตอไปนในตอนทายโดยมมมองแตละโหนดประกอบดวยลำาดบของตวเลข Pseudonodes แตละชนสวนเลกๆ( 8 บท) ของ ID โหนดสามารถรวบรวมเครองหมายระยะทางรวมรอบๆ 16 บท

4.4 ตามหา IP โดยวธผานทางการลอคปญหากบกลยทธการสมความแขงแรงของขอกอนหนานเพอตองการเลอก IP หลก อบเดทเครองหมายและไมทำางานสำาหรบโจมตแพกเกจชอบโจมตหยดนำาตากลยทธดงตอไปนการตามหาโดยผานทางลอคหลกเลยงทงสองปญหาโดยเพมตวเกบขอมลทเราเตอรมากกวาทจะรกษาบบอดบนทกแพกเกจเปนการจงใจตางกไมใชความยากกลยทธในลอคหลกเลยงท

กระตนความสนใจนกเพราะกลยทธลอคยงคงตองการแกไขเราเตอรเกยวกบอนาคตขางหนาถงแมวาไมตองการแกไขหวขอเนองจากสงนมความยากของแนวโนมผจำาหนาย(ผทมอบหมายสงตอเสนทาง Silicon แลวและผใหบรการอนเตอรเนต(ผทปรารถนาเพอรกษาอปกรณสำาหรบ 5 ป) เพอทำาการเปลยนแปลงเชนเดยวกนการโจมต

แพกเกจเดยวไมธรรมดาและสามารถกรองสญญาณบอยๆโดยตรงโดยเราเตอร

อยางไรกตามแนวความคดของการดำาเนนการบบอดคนหาลอคทวไปมนสามารถถกใชมากกวาโดยทวไปสำาหรบกลาวเครอขายแสดงผลนประสงครกษานนสำาหรบเกยวกบกฏหมายหลงจากโจมตแตทสำาคญมนแนะนำาเทคนคสำาคญทเรยกวา Bloom Filter

ใหลอคแพกเกจทมปะสทธภาพทเราเตอรแตละอนแนวความคดระดบสงสำาหรบตดตามถกแสดงในรปภาพท 4.7 V ครงแรกทผประสบภยตรวจสอบการโจมตแพกเกจ P ตอมาการสอบถามทงหมดทอยใกลเคยงเราเตอรพด R8 และ R9 เพอดทงคม P ในลอคของการแพกเกจเมอไมนานเมอ R9 ตอบกลบในคำายนยนคนหาการเคลอนยายบน R9 ผทถามสงใกลเคยงแตผเดยวR7หลงจาก R7 ถามความใกลเคยง R5และR4 และคนหาการเคลอนยายถอยหลง A

วธทงายทสดทจะเพมลอคตองใชเทคนคซำาในการสมเสนโคจรแทนการลอคแพกเกจ a พจารณา 32 บทของหวขอคาคงท(I,e,. แยกสวนพนทเปลยนแปลงจาก hop ถง hop เชนเดยวกนกบ TTL) ของแพกเกจอยางไรกตาม 32 บทตอแพกเกจสำาหรบแพกเกจทงหมดทสงใน 10 นาทสดทายยงคงใหญท Bloom Filters 10 gbps อธบายตอไปอนญาตใหลดขนาดใหญรอบๆ 5 บทตอแพกเกจ4.4.1 Bloom Filters

เรมตนสงเกตโดยการสอบถามลอคแพกเกจเชนเดยวกนหรอตารางผใชทสองถามสมาชกซงทำาใหสำาเรจไดโดยงายโดยนำาตารางกลบมาทำาใหมสำาหรบตวอยางในความปลอดภยทแตกตางของคอนเทกถา John และ Cathy คอผใชทยอมและตองการตรวจสอบถา Jonas คอผทยอมใชเราสามารถใชตารางทนำามารวมกนทตงของจอหนและ IDs ของ Cathy และไมใชของ Jona

รปท 4.7 การใชลอคแพกเกจทจะตามหาการโจมตแพกเกจ P ถอยกลบจาก V ผประสบภยทผโจมต A โดยตามหาโหนดปจจบนทงหมดทจดใกลเคยง(จดเสน)ถาเขาไดเหน P

การตรวจเชคสำาหรบ Jonas ตองการเขาถงขอมล ID โดยตรงของ Janas เขาไปในตารางทนำามารวมกนและปฏบตตามรายการกรอกขอมลถดไปนเพอจดการการชนกนแตละรายการตารางทนำามารวมกนตองกรอกขอมลรายการของ IDs ในบรรดาผใชทกคนทนำามารวมกนเขาไปในถงขอมลสงทตองการอยางนอยทสด W บทตอผทยอมใช W คอระยะเวลาของแตละ ID ผใชในทวๆไปเพอเพมตารางทนำามารวมกนสำาหรบชดของตวควบคมการปฎบตงานของฮารดดสกตองการอยางนอยทสด W บทตอผคนหาทซง W คอระยะเวลาของผคนหาเลกทสด

Bloom filters แสดงในรปท 4.8 สำารองเพอลดจำานวนผลรวมของหนวยความจำาสำาหรบชดการเขารวมบทจำานวนไมมากตอสวนสำาคญแนวความคดควบคมขนาดของภาพบตแมพพดถง 5N N คอ

จำานวนขององคประกอบกอนองคประกอบถกแทรกบททงหมดในบทแมพถกลางขอมล

สำาหรบแตละองคประกอบในชดขอมล ID ทใชฟงกชน K อสระทนำามารวมกน( 2 ในรป 4.8,H1,H2) เพอกำาหนดตำาแหนงบทในบทแมพเพอตงคาดงเชนในกรณของสวนหนงของผใชอยางสมบรณในรปภาพ 4.8 นำามารวมกบ ID จอหนเขาไปในตำาแหนงบททสองและลาสด ID Cathy ทนำามารวมกนเขาไปในหนงตำาแหนงทกงกลางและเขาไปในตำาแหนงของจอหนถา 2 IDs มารวมกนทตำาแหนงเดยวกนการตงคาบททเหลออย

ในตอนทายเมอการคนหาเพอดองคประกอบสำาคญทเจาะจง(พด, Jonas )อยในการตงคา Jonas ทถกรวมการใชทงหมดรวมกนฟงกชน K Jonas ถกสนนษฐานอยในการตงคาถา

รปท 4.8 Bloom Filter อธบายชดสวนประกอบโดยการตงคา K บทในบทแมบการใชฟงกชน K ทประยกตใชกบสวนประกอบอสระดวยเหตนองคประกอบ John ชดทสอง(การใช H1)และบทถดไปถงลาสด (การใช H2)เมอการคนหา Jonas Jonas พจารณาสมาชกของชดเทานน

ถาตำาแหนงบททงหมดรวมกนโดย Jonas ไดตดตงบทแนนอนมบางโอกาสซง Jonas อาจจะนำามารวมกนเขาไปในตำาแหนงการตงคาทเสรจเรยบรอยแลวพด Cathy สงหนงโดยจอหน(ดรป 4.8)ดง

นนมโอกาสของสงทถกเรยกวา a ผดทเปนบวกการตอบการสอบถามสมาชกอยางแนชดเมอสมาชกไมอยในการตงคา

การแจงวาเทคนคนทำา Bloom Filter ทเปนไปไดททำาใหหายกงวลจากรายละเอยดทระบ(P3)รวมตารางปกตซงตองการ W บทตอ ID อยาทำาขอผดพลาดการลด 5 บทตอ ID ตองการการยอมรบขอผดพลาดอยางไรกตามอตรารอยละของขอผดพลาดเลกนอยโดยเฉพาะถามการโจมตแผนผงรปตนไมและตงคาองคประกอบถกรวมใหความสำาคญแพกเกจเหมอนในรป 4.7 ความหมายทเปนบวกผดบางครงเขาใจผดแผนกมากกวาอยางถกตองอตราทเปนบวกผดสำาหรบบทแมบขนาด m ปรมาณมากสมาชกใชรวมกนกบฟงกชน

¿¿

สมการทไมซบซอนเชนเดยวกนจะปรากฏ(1 -1/ m ) kn คอความนาจะเปนไปไดนทวาบทใดๆไมมการตงคาใหคา n แตละองคประกอบรวมกน K เพอเวลาใดๆของ M ตำาแหนงบทในตอนทายรบ a ทเปนบวกผดตำาแหนงบท K ทงหมดทนำามารวมกนบน ID ซงเปนสาเหตให a บวกผดจำาเปนตองตงคา

การใชสมการนมนดไดงายสำาหรบ k=3 (สามฟงกชนอสระทนำามารวมกน)และ 5 บทอสมาชก(m/n=5)อตราทบวกผดอยางคราวๆ 1%อตราทบวกผดสามารถปรบปรงใหดขนถงจดสงสดโดยการใชฟงกชนทนำามารวมกนมากขนและโดยการเพมขนาดบทแมบ

รป 4.9 เครองมออปกรณคอมพวเตอรของแพกเกจทลอคการใช Bloom Filters บนทกการใช 2 ระดบหนวยความจำา SRAM สำาหรบการสมอานแกไขเขยนและ DRAM สำาหรบเขยนแนวนอนใหญ

4.4.2 เครองมอ Bloom Filter ของลอคแพกเกจเครองมอ Bloom Filter ของลอคแพกเกจในระบบ SPIE ท

แสดงในรปภาพ 4.9 (รปภาพทไมคดคาบรการของ Sanchzet al) แตละบตรเสนคำานวณ 32 บททนำามารวมกนเปนบทสรปของแพกเกจและแทนทมนในคว FIFO เพอบนทกตนทนหลายสวนแบงเปนการดเสนโดยผานทางแรมหลายเทาความเรวของ SRAM บรรจ Bloom Filter บทแมบ

เพราะเปนในกรณจำานวนนบสงหนงทสามารถประสานความสามารถทดทสดของ SRAM และ DRAM ทจะลดคาใชจายความตองการทนะใช SRAM สำาหรบการสมความเรวสวนหนาสวนทเหลอเขาถงบทแมบนาเสยดายการใชของ SRAM จะสำารองเกบตวเลขเลกๆมากมายของแพกเกจสำารองปรมาณมากกวา Bloom Filter

บทแมบใน SRAM เปนระยะผลของการคำานวณเสยงบพเฟอร DRAM มากมายเพราะวาเหลานไมใชการสมเขยนถงบทเขยนถง DRAM สามารถเขยน DRAM แถวหนาหรอแถวนอนทจดหาหนวยความจำาแบนดวดทใหพอเพยง

4.5 การตรวจสอบไวรสไมระมดระวงทำาใหจบในบทนโดยปราศจากความสนใจไมเจาะจงปญหาของการตรวจสอบไวรส ไวรส(เชนรหสสแดง,Nimda,Slammer) กบการกระทำาทกลาหาญทสงโดยผโจมตเขาควบคมเครองจกรการกระทำาทกลาหาญทเปนแบบฉบบการโจมตบฟเฟอรมากมายซงมสาเหตโดยการสงแพกเกจ(หรอหลายแพกเกจ)การควบคมสวนพนทมขอมลมากกวาสามารถถกจดการโดยบพเฟอรทจดแบงพนทโดยเครองรบสญญาณสำาหรบสวนพนทถาเครองมออปกรณรบสญญาณทไมระมดระวงขอมลพเศษเกนขนาดจดแบงบพเฟอรสามารถเขยนทบคยตวแปรเครองจกรเชนเดยวการกลบคนของ address บนกองทซอนกน

ดงเชนบางความพยายามการไหลลนของบพเฟอรสามารถปองกนการโจมตเครองจกรทกำาลงทำางานรหสบนการบกรกเครองจกรรหสใหมหลงจากการเลอกสรรสม IP Addresses และสงแพกเกจทคลายเหยอใหมเหลานแมวาฟงกชนเลกเทานนของ IP addresses มการตอบสนองการบกรกเหลานไวรสแพรกระจายอยางรวดเรว

เทคโนโลยการตรวจสอบไวรสปจจบนทงคซงมผลยอนหลง(หลงจากการตรวจสอบไวรสตวใหมและวเคราะหโดยมนษยกระบวนการนสามารถใชวนสามารถควบคมกระบวนการรเรมคมอการใช (I.E ตองการโดยการแทรกแซงของมนษยทจะระบสญญาณของไวรสตวใหมเทคโนโลยนนทเปนตวอยางโดยรหสสแดงและ Slammer ซงมนษยใชความพยายามเพอการคนหาการตดตามแผนการทควบคมไดนำามาประยกตในการแยกจากพอรต

การใชตดตงเครองใชไฟฟาและการทำาสญญาณพนฐานเครองกรองในเราเตอรและการตรวจสอบการบกรก

มความยากกบเทคโนโลยปจจบนเหลาน1. ตอบสนองชา:มสำานวนทคยเกยวกบการลอคประตคอกมาหลง

จากมามการหลบหนเทคโนโลยปจจบนเหมาะกบตวอยางนเพราะวาโดยยทธศาสตรมการแนะนำาควบคมไวรส ไวรสมการตดไวรสกนมากของระบบเครอขาย

2. ความพยายามทคงททกๆไวรสตวใหมตองการผลรวมหลกของงานทเกยวกบมนษยเพอระบรายงานทมหนาทแนะนำาและดำาเนนการในตอนทายทจะยบยงไวรสนาเสยดายหลกฐานทงหมดทปรากฏชใหเหนวาไมมความขดสนของความสามารถใหมและแยกวาไบนารพนฐานทเขยนใหมและแกไขอนๆของการโจมตทมอยสามารถหลกเลยงสญญาณพนฐานงายทจะยบยง(อยใน Snort)

ดงเชนมความตองการรบดวนสำาหรบการตรวจสอบไวรสตวใหมและวธการควบคมทเวลาจรง(และจากนไปสามารถควบคมไวรสกอนหนานมนสามารถตดตอชนสวนสำาคญของระบบเครอขาย)และสามารถเปนลกคาของไวรสตวใหมกบการแทรกแซงนอยทสดของมนษย(การแทรกแซงของมนษยบางครงไมสามารถหลกเลยงไดซงความเปนไปไดนอยทสดทบนทกรายชอทตรวจสอบไวรสทำาเกยวกบกฏหมายในทเฉพาะระบบการตรวจสอบไมควรจะพงพาภายนอกการประมาณครงแรกกำาหนดไวรสทางทฤษฎทำาใหเหนลกษณะสำาคญดงน(Payload นอยมากทใช UPD และการโจมตบน lesser-Known พอรท MS SQL

1.ระดบมากมายของการลกลอบคาทเหมอนกนไวรสเหลานมคณสมบตอยางนอยทสดระยะเวลาสอกลาง(หลงจากระยะเวลาเรมแรกแตกอนการตดไวรสทสมบรณ2.การเพมขนของระดบการตดตอหมายเลขของการตดตอแหลงขอมลมสวนรวมในการโจมตเพมขนอยางแนนอน3.สมการทดสอบการแพรกระจายขอมลทตดไวรสการตดตอโดยพยายามทจะสอสารการสม IP Addresses ทมนคงเพอการตรวจสอบพอรทสำาหรบจดออนของบรการโนต การตรวจสอบทงหมด 3 ขอนของความสามารถทใชไดดเพอหลกเลยงทเปนบวกผดสำาหรบตวอยางนขนตอนวธการสำาหรบการตรวจสอบไวรสโดยธรรมชาตทำาใหเกดการคนหาวธการดงน

1.ระบการไหลเวยนมากมายในเวลาจรงกบผลรวของหนวยความจำาเลกกลไกสามารถถกอธบายเพอระบการไหลเวยนจราจรมากมายสำาหรบนยามใดๆของตวไหลเวยน(เชนแหลงขอมลปลายทาง) งายๆตเกลยวนนยามคอทราบวาเนอหาของแพกเกจ (หรอมประสทธภาพยงขนมความยงเหยงของเนอหา) สามารถถกตองไหลระบซงโดยกอนงานสามารถระบในเวลาจรง (และมหนวยความจำาตำา) เปนปรมาณสงซำาเนอหา. แมมความคดทเฉพาะเจาะจงมากขน (ซงจำาแนกหนอนจากอตราการเขาชมทถกตองเชนเพยรเพอเพยร) คอการคำานวณทพนฐานตามเนอหาเปนพอรตปลายทาง (ซงจะยงคง invariant สำาหรบหนอน).2. ทมาของตวเลข: กลไกสามารถใชอธบายงายๆ bitmaps ขนาดเลกขนาดเทาจำานวนทลงกแหลงขอมลทมาใชจำานวนหนวยความจำาและการประมวลผลเลกๆ.. กลไกนสามารถถกใชเพอนบแหลงขอมลทตรงกบระดบการจราจรระบกอนกลไก3. ตรวจสอบแบบสมโดยนบจำานวนของการพยายามเชอมตอไมไดใชงานกบบางสวนของทอย IP: สงหนงอาจเกบงายๆ

กะทดรดแทนบางสวนของทอย IP ทรจกพนทเปนตาย. คอหนงตวอยางทเรยก Bogon รายการทไมไดใชคำานำาหนา 8 บต (สามารถเกบไวเปน bitmap ขนาด 256).. ตวอยางทสองคอความลบของทอย IP พนท (สามารถเกบไวเปนคำานำาหนาเดยว) รจกเปนไอเอสพจะไมเคยชน. ทสามเปนเซตทใชไมได 32 บตทอย (สามารถเกบไวเปนผลกรอง).แนนอนหนอนผเขยนสามารถแพการตรวจสอบโครงการโดยละเมดใดๆเหลานสมมตฐาน.. ตวอยางเชนหนอนผเขยนสนนษฐานไมมประโยชน 1 โดยใชชามากและอตราการตดไวรสโดยเปลยนแปลงเนอหาบอย. สนนษฐาน 3 อาจไรประโยชนใช addresses ทรจกใช. สำาหรบแตละโจมตมปญหาแตละวธการตอบโต. ทสำาคญในบางโครงการอธบายดเหมอนการตรวจสอบอยางนอยทมอยทงหมด ความรเรองไวรสดงนนความแตกตางการศกษาเกยวกบ ในการทดสอบครงแรกท UCSD เปนสวนหนงของสงทเราเรยก EarlyBird ระบบเรายงพบนอยมากเทจ ทเปนบวกกลไกการตรวจสอบทไมมพษ รองทกขเกยวกบอตราการจราจร

4.6 บทสรปการกลบไปใชอางองของ marcus ranum ทเรมตนของบทนการแฮคจำาเปนตองทำาใหตนเตนสำาหรบผเจาะระบบและทำาใหตกใจสำาหรบผดแลระบบเครอขายอยางชดเจนบนความแตกตางของกลมของ battlements

อยางไรกตามการแฮคทำาใหตนเตนปรากฏการณสำาหรบผประกอบการของขนตอนระบบเครอขายมความเรยบรอยมากเมอเปรยบเทยบโดยพนทขอจำากดมากกวา เทยบกบการทำาบญชและแพกเกจ lookups ซงขนพนฐานงานไดถกแชแขงหลายปและความคดสรางสรรคและความทนทานของแฮค

ในขอตกลงของการใชเทคโนโลยปจจบนทขนตอนตงคาจบคสตรง ดเหมอนเปนประโยชนและอาจละเวนโดยผลตภณฑปจจบน. อยางไรกตามประเภทของสตรงทตรงกนเชนการจบคแบบแสดงผลปกตทจะมในการใช. ในขณะทประมาณเทคนคการจบคทคอนขางเกงในปจจบนของแอปพลเคชนทผานมาประวตการแสดงวาพวกเขาอาจมประโยชนในอนาคต.

ทสองท ตดตามการแกปญหาเทานนแสดงจนตนาการวธการปญหา. ความตองการขอกำาหนดสำาหรบการเปลยนแปลงทเราเตอรสงตอใหพวกเขาไมใช ปจจบนเมอเทยบกบการปรบใชเทคนคตางๆททำางานในการควบคมแผน.. แมวาน การมองโลกในแงราย ประเมนคาเทคนคทดเหมอนมประโยชนอนๆอกมากมายโดยทวไป.

ตวอยางเชนการสมตวอยางทมความนาผกผนสดสวนอยางคราวๆเพอบน ผกพนในระยะทางไดอยางมประสทธภาพจะมประโยชนสำาหรบการรวบรวมอนพตจาก แตละจำานวนผเขารวมโดยประสานงานไมชดเจน. เชนเดยวกบตวกรองผลเปนประโยชนเพอลดขนาดการนำามารวมของตาราง 5 บตตอรายการทคาใชจายในการขนาดเลกของนาเทจ ทเปนบวก. ดวยความงามของพวกเขาและศกยภาพความเรวสงสำาหรบการดำาเนนการดงกลาวอยางแนนอนเทคนคควรเปนสวนหนงของออกแบบของถงเทาทน.

. สดทายเราอธบายวธการของเราเนอหาซงไมเชอเรองการตรวจสอบการขนตอนการใชเทคนค.. ทรวมการแกปญหาทมกลไกอธบายไวกอนหนาในหนงสอเลมน ในขณะทผลการทดสอบของเรายงมวธการใหมเบองตนเราหวงตวอยางนจะ ชวยใหผอานบางเหลอบทสดในแอปพลเคชนของ ขนตอนทนากลวและนาตนเตนฟลดของความปลอดภยของระบบเครอขาย

บทท 5Concepts in IP Security

ในหวขอนไมไดเกยวกบ internet บางทอาจจะเปนเรองพเศษจากการใชประโยชนจากการเผยแพรและสงรบกวนทไมสำาคญจากอเมลขยะ ทำาใหไดรบความสนใจในสวนทสำาคญทสดในระบบสอสารมวลชนนนคอ การรกษาความปลอดภย นนเอง จากคาเฉลยของผทใชบรการเกยวของในเรองทเดนนนคอไวรสทสามารถตดไวรสในคอมพวเตอรสวนตว เนองมาจากสาเหตความไมสะดวกสบายหรอความเสยหายหรอถกทำาลายในขอมลนนเอง พวกเรานนเคยไดยนเกยวกบ white-collar-e-criminals คอ ผทสามารถลกลอบเอาขอมลทางการเงนสวนบคคลหรอการโกงสวนใหญทเกดในสถาบนภายหลงจากการเพมขนกฎทผดกฎหมายในระบบคอมพวเตอร

ทงหมดทเราตองเรยนรเกยวกบความหายนะทไมสำาเรจผลในสวนทเกยวกบ internet แมวาทงหมดนนบางครงเกดขนโดยขอตดขดในสวนประกอบใจกลาง เชน router เปนตน หรอโดยการเจาะตดเขาไปในสายเคเบลหรอไฟเบอร ทงหมดนนคอสงเพมขนในการรบผดชอบของสวนบคคลของผทสรางหลดพลางทผดกฎหมายทยงคงอยในระบบ internet บางครงพวกเรารวาผทสนบสนนพวกทพยายามตองการเจาะระบบการ

รกษาความปลอดภยในระบบหรอเพราะวาเกดจากความสงสยในการปฏเสธของการทำารายจากการบรการโดยการเขารวมการตอสในเจตนาดงกลาว

ผทเขารวมการจารกรรมคอผทมความเกยวของมากทสดแตภายในทก ๆ ความกาวหนาการดแลในบรษทจะมผดแลหรอแผนกทรบผดชอบเกยวกบการเกบขอมลทเปนความลบภายในบรษท ในเวลานนเองพวกทเปนสมาชกในการตอตานการขอางเรยกรองในสงทแยงกน นนคอ รฐบาลควรทจะสามารถพอทจะเกบรกษาขอมลทเปนสวนบคคลในขณะทในเวลานนไดทำาการตรวจสอบผทตองสงสยโดยปราศจากสตปญญาในการสอสาร

แตอยางไรกตามไมวาจะถกหรอวาผดในกฎหมายหรอทางสงคม การรกษาความปลอดภยใน internet กำาลงผดขนในอตสาหกรรมในบทนจะกลาวถงภาพรวมทงหมดในการแกปญหาและภาพรวมของการทำางานของการเงอนไขการรกษาความปลอดภย มนจะเสนอการรกษาความปลอดภยถงการวเคราะหแยกแยะวธการทำางานใหเปนขนเปนตอนโดยกำาหนดใหเรยงไปตามลำาดบนอกเหนอจากเขาไปในขอมลทเปนการชกชวนบคคลไปในทางทผด ๆ หลงจากการนำาสารสนเทศตาง ๆ มาเขารหส หรอ การใหรหสลบสวนตวโดยการแยกแยะการทำางานใหเปนขนเปนตอนหรอเงอนไขการเผยแพรวชาการ ในสวนของขอมลตาง ๆ นนเกยวกบการอางองถงปจจยฟงในสวนทายของบท

ในสวนแรกของบทนนเกยวกบการพจารณาความตองการสำาหรบการรกษาความปลอดภยในระบบทสามารถเกยวของไดและในสวนวชาการในดานการใชการปองกนขอมลในการเกบเขาหรอการสอสารขามผานระบบ ดงนนตามทขอมลนนการพจารณาของสองเงอนไขของการรกษาความปลอดภยซงจดใหการรกษาความปลอดภยใน TLS ซงจดการในการเคลอนยาย

layer และให Secure Sockets Layer (SSL). หลงจากอภปรายสนๆเกยวกบวธการรกษาความปลอดภยใหกบการปฎบตการของ Hypertext Transfer Protocol (HTTP) ซงเปนพนฐานไปสการ

ปฎบตการของการคาทมพนฐานมาจากเวบ ในบทนจะอธบายวธการ hashing และ วธการเปลยนขอความใหเปนรหสทใชในการเชอมโยงกบคยเพอตรวจสอบการแกไขขอมลหรอเพอซอนมนโดยสนเชง วธการ hashing ของ Message Digest Five (MDS) จะถกแสดงเปนตวอยางงายๆ บทนจะสรปพรอมกบตรวจสอบวธการทคยความปลอดภยอาจจะมการแลกเปลยนผานเครอขายเพอใช decrypt หรอตรวจสอบขอมลทถกถายทอด

5.1 THE NEED FOR SECURITYมนยตธรรมทจะกลาววาเมออนเตอรเนตถกคดคนขนเปนครงแรก

ความปลอดภยไมไดรบการพจารณามากนก ในความเปนจรง สงทงหมดของอนเตอรเนตคอเพอใหสามารถแบงปนและกระจายขอมลไดอยางอสระ เปรยบเสมอนการเชอมโยงคอมพวเตอรจำานวนมากเขาดวยกนแตเนองจากขอมลตางๆ ทถกเกบอยในคอมพวเตอร และกระจายทางอนเตอรเนตมจำานวนมากขน และมความไวขน ทำาใหความปลอดภยของเครอขายกลายเปนเรองสำาคญ

ม 2 ประเดนสำาคญ ประเดนแรกคอ เรามความตองการในการเกบขอมลสวนตวเพอใหสามารถเขาถงเฉพาะบคคลทไดรบอนญาต ไมวาจะเปนขอมลของรฐบาล ขอมลทางการคา หมายเลขบตรเครดต หรอขอความทแสดงวาคณไปพบกบเพอนในบารในอกครงชวโมง มแรงจงใจอยางสงในการปองกนขอมลทสงทางอนเตอรเนตจากสายตาทสอดรสอดเหน ความตองการนเพมขนนอกเหนอจากการปกปองขอมลทสงผานอนเตอรเนต, ยงควรคลอบคลมถงการปกปองไฟลทเกบในคอมพวเตอรทแนบไปกบอนเตอรเนต, และการเขาถงแหลงและโปรแกรมของคอมพวเตอร การแกปญหาในเรองนสามารพบไดโดยผใชงานบนเครอขายสวนตว เนองจากเขาจำาเปนตองลอกออนไปยง workstations, รหสผานของเอกสารสำาคญ และการ sign เมลของพวกเขาอยางดจตล

ประเดนของความปลอดภยทสอง จะเกยวของกบการปองกนโครงสรางของอนเตอรเนต. ซงคลอบคลมการปองกนการโจมต

โครงสรางของเครองมอในเครอขาย แหลงขอมลทางเครอขาย ความแออดของ nodes หรอการเชอมโยงกบขอมลปลอมททำาใหขอความทถกกฎหมายไมสามารถผานได บางแหงระหวาง 2 กรณนคอการปองกนการเขาถงทไมไดรบอนญาตไปยงบรเวณทปลอดภยบนคอมพวเตอร การเขาถงนอาจจะเพออานขอมลทเปนเอกสทธ หรออาจจะเพอแทนทดวยบางสง หรอเพอลบทง มขตลกยอดนยมในกลมผเจาะระบบเครอขายคอมพวเตอรคอเพอแทนทเนอหาของเวบไซดดวยสโลแกนหรอรปภาพทไมเกยวของหรอไมมประโยชนไปยงเวบไซดทสนบสนนอนเตอรเนตไดรบการแสดงอยางซำาๆวาคอนขางเปราะบาง โครงสรางทผดโดยไมไดจงใจของเราเตอรสำาคญอาจจะสงผลใหเกดการ looping หรอถกสงเขาไปในชองวางของขอมลจำานวนมาก การเปลยนแปลงทประสงครายกบขอมลอาจจะมผลลพธทคลายกน ขณะทกำาลงเขยน เวบไซดภาษาองกฤษของบรการขาวอาหรบไมสามารถเขาถงไดเนองจากมคนขโมย DNS entry บนเซรฟเวอรสำาคญตางๆ สงผลใหพยายามเขาส http://www.aljazeera.net ทถกเปลยนทศทางใหมไปยงเวบไซดอนทแสดงขอความรกชาตของอเมรกา การแทรกแซงดงกลาวในการปฎบตการแบบราบเรยบของ อนเตอรเนต, แมวาไมมขอกงขาของความสนกไปยงผทำาผดกฎหมาย เปนความไมสะดวกสบายทดทสดของผใชงานอนเตอรเนตปกต สำาหรบหนวยงานพาณชยทอาศยการแลกเปลยนขอมลผานอนเตอรเนต หรอผานการเยยมชมเวบไซดของลกคา การรบกวนเหลานเปนเรองทรายแรง

เทคนคตางๆถกใชเพอแกไขปญหาความปลอดภยของอนเตอรเนต เทคนคทโดดเดนทสดเกยวของกบการปลอมตวเปนผใชงานคนอนเพอการเขาถงคอมพวเตอรของผใชงานคนนน วธการเขาถงแบบระยะไกล เชน เทลเนต และ FTP ทำาใหสงนเปนเร องงาย แนนอนวา ขอมลทถกสงบนอนเตอรเนตสามารถถกตรวจสอบไดงายโดยใช sniffer, ทำาใหสามารถเขาถงคอมพวเตอรบนเครอขายสามารถได หรอ sniffer สามารถถก hooked up ไปยงเครอขายทจดหนง

แมวาจะใชรหสผานหรอการสรางรหสลบมนอาจเปนไปไดสำาหรบบางคนในการจบลำาดบคำาสงและขอความและเลนซำาใหมในภายหลงเพอไดรบการเขาถงการโจมตของการเลนซ ำา ดงกลาวสามารถทำาใหการใชงานเกดความสบสนและสญเสยแหลงขอมลของระบบ แตอาจะคนขอมล เชน คยการสรางรหสลบ หรออาจจะใหการเขาถงการใชงานบนเซรฟเวอรระยะไกล

การปฎเสธการโจมตการใหบรการสงผลใหเกดการท ำาลายการใหบรการแกผใชงานเครอขายทถกกฎหมาย ไมมผลกำาไรอยางชดเจนแกผทำาผดกฎหมายแมวาตวอยางในตอนตอไปจะอธบายวธการปฎเสธของการใหบรการอาจจะถกใชเพอหลอกลวงผปฎบตการของเครอขายในการเปดเผยความลบของพวกเขาการปฎเสธ การใหบรการกำาลงเปนเครองมอของ ผ“นยมอนเตอรเนต ทมงไปทองคกรทพวกเขาไมเหนดวยและปองกนการ”เขาถงจากเครอขายสวนตวขององคกรเหลานน

5.1.1 Choosing to Use Securityภายนอก มนจะเปนการเสยสตสำาหรบใครกตามทคดจะใช

คอมพวเตอรโดยไมสนใจความปลอดภยของคอมพวเตอรตวเอง คนทใชคอมพวเตอรและใชอนเตอรเนตทกๆวนไมไดคำานงถงความเสยงตอขอมลของพวกเขามแคกลมทตองใชอนเตอรเนตเปนระยะเวลานานโดยใชอนเตอรเนตความเรวสงถงจะคดวาตวเองมความเสยงสง ถงแมใน องคกรทใหญ สวนใหญ จะใชแคการปองกนความปลอดภยพนฐานเพอไมใหบคคลอนๆ เขาเครอขายทางสวนตวของทางองคกร และใชระบบความปลอดภยทตำาหรอแทบจะไมมเลยสำาหรบความปลอดภยของขอมลทพวกเขาสงผานทางอนเตอรเนต

ถงขอบเขตหนง นเปนคำาถามทางสถต: มโอกาสเทาไรทจะมนกลวงขอมลมายงกบคอมพวเตอรของฉน? คำาตอบควรจะเปนวาโอกาสทจะเกดนนคอนขางจะไมม นอกจากคณจะเรยกความสนใจมาสตวเอง เชน โดนเกลยดโดยบรษทขามชาตพรอมกบชอทางดานการทำาลายสงแวดลอม หรอโดยการเขยนหนงสอเรยนเกยวกบความปลอดภยบนอนเตอรเนต แนวโนมทางสถต แต อาจจะไมใชสงทเราชอบ เหมอนกบทเรารวาไวรสจาก

คอมพวเตอรอนตราย และไดปองกนพวกเราเองโดยใชซอฟแวร ดงนนเราจงตองปองกนคอมพวเตอรของพวกเราจากนกลวงขอมลผซงเขยนหรอใชโปรแกรมซงทองอนเตอรเนตสำาหรบคอมพวเตอรทไมทปองกนมสงอนๆทตองคดเหมอนกน ทนอยทสดคอราคาและถงแมวาตอนนราสามารถทำาหลายๆอยางใหกบคอมพวเตอรทบาน ในราคาทถก

การรวมมอกนกบการวางแผนมาพรอมกบราคาทมาก มราคาคาแสดงทเกยวของกบขอมลทเปนจรง เชนจากลอกาสทมใชในการทำางานดานคอมพวเตอรรหลายๆแบบ ผลกระทบของความเรวในการสงขอมล สามารถลดลงไดโดยการใชฮาดรแวรทลดงานดานคอมพวเตอรทจำาเปน แตราคานนจะสงขนอก การทำางานกจะพฒนาลอกาลทมใหเรวขน ซงเทากบความปลอดภย

สงทคดเปนลำาดบสดทายคอความยงยากของระบบความปลอดภย ในหลายๆกรณ มปญหาดานรปแบบทจะตองคดถงในซงเปนกญแจทสำาคญของความปลอดภย ตองมในระบบ ทผสงและผรบจะใชกญแจทสำาคญในการทำางาน (ด สวนท 5.8) และความยงยากของระบบความปลอดภย จะลามไปถงระบบการดแล ดวยความยงยากและไมเขาใจในเครอขายการทำางาน ตามทไดอธบายตามขอควรระวง (และเปนไปได) จากเรองเลาของเครอขายในชวงแรกๆ

ธนาคารไดสงขอมลโดยทางเทปทกๆคนจากสาขาหลกไปยงสำานกงานใหญ ทางธนาคารไดตดตงการเชอมตอของคอมพวเตอรระหวางสำานกงานตางๆเพอทำาการสงขอมลทมประสทธภาพและประหยดเวลา โดยไมชไมรเรอง มนใชหลกการลอกาลทมงายๆ

เมอเวลาผานไปนกการธนาคารรสกวาลอกกาลทมของพวกเขามนงายทจะถกโจมต ดงนนเขากเลยทำาการปรบปรงซอฟแวรเพอใหมนยากขน พวกเขาทำาการปรบปรงซอฟแวรและทงใหมนทำางานทงคน มนทำาใหพวกเขารวา ขอมลททางสำานกงานใหญไดรบนนปนกนไปหมดและไมสามารถถอดความหมายได การทดลองแบบงายๆไดแสดงวาการเปลยนเปนรหสจะ

ทำาใหการสงขอมลเปนปกต แตการอานขอมลของคอมพวเตอรทสำานกงานใหญนนเปนไปไมได

ดวยแรงกดดนทมอยเพราะวาธนาคารตองเปดทำาการ ผจดการไดตดสนใจ จะใชซอฟแวรทเปลยนรหสใหมและจะตองไมสามารถสงขอมลได ดงนนขอมลจงถกสงไปทสำานกงานใหญโดยทไมไดแกไขรหสและธรกจกดำาเนนไปตามปกต ผเขยนซอฟแวรไดถกเรยกตวแตไมสามารถหาไดวาโปรแกรมเกดความผดพลาดอะไร แตไมสามารถหาขอผดพลาดได และในทสดวศวกรรมฮาดรแวรกได

5.2 CHOOSING WHERE TO APPLY SECURITY

ความปลอดภยภายในเครองขาย IP สามารถประยกตใชไดในระดบตางๆ ทงหมด ความปลอดภยดานวตถสามารถควบคมการเชอมโยงและเขาถงเครอขายสวนตว ความปลอดภยของ protocol-level จะควบคมและปกปอง protocol ทสำาคญซงทำาใหอนเตอรเนตทำางาน การประยกตใชความปลอดภยสามารถใชปกปองขอมลและกำาหมดการเขาโปรแกรมคอมพวเตอร การสงและความปลอดภยของเครอขายถกใชเพอปกปองขอมลไหลไปสสาธารณะ หรอ เครอขายทไมมการปองกน

การเลอกนเปนกลยกตทสำาคญและจำาเปนตอการปองกนขอมลแตละชน ผปรกษาดานความปลอดภยไดใชความพยายามอยางสง เพอชวยเหลอลกคาเลอกการวางแผนดานความปลอดภย และยงกระทงระบบจดการ เนองจาก มกจะพบไดบอยวา ความปลอดภยทสงขนจะถกดำาเนนผานโครงรางทยงซบซอนขน ผลทตามมาจากการทวางแผนความปลอดภยไมดเปนปญหาทใหญมาก ดงทไดกลาวไวในบททผานมา การทวนวายมากไป หรอ วางแผนแยไป จะทำาใหผใชหงดหงดได บททจะกลาวตอไปน เปนการบอกคราวๆ ของระดบความปลอดภยทควรนำามาประยกตใช

5.2.1 Physical Security

บางทระบบความปลอดภยทชดเจนและแนนหนาทสดคอ การหยดการเชอมตอ ผบกรกจะยากทจะเขาถงเครอขายหรอขอมลของคณถาไมมการเชอมตอถงภายนอก วธนกยงเปนวธพนฐานสำาหรบหลายรปแบบของระบบความปลอดภย แตภายในกยงมการเชอมตอ รวมถงลงคทยากตอการปองกน เชนการเชอมตอระหวางตก และนบงบอกถงจดออน ทบคคลภายนอกสามารถเอาเปรยบ ในปจจบนน การทคนภายนอกจะเขาถง และเชอมตอระบบอนเตอรเนต เปนเรองทเปกขนเปนประจำา ถงแมวาการเชอมตอบางอยางจะสามารถกำาจด ทงลงคทเชอมตอกนสองตว และลงคภายนอก มนกยงเปนการเปดประตตอนรบให แฮคเกอร เขามาในเครอขายสวนตว และมงราย เปลยนปลงขอมล

ถงแมวาจะมการเชอมตอจากเครอขายสวนตวไปเครอขายขางนอก กยงมการเชอมตอทสามารถกำาจด และประยกตใช การปองกน Dial-up links caller ID หรอการสราง call-back สามารถจำากดผเขาชมทไมรจก และ ลงคถาวรจากอนเตอรเนตทงนอยและมาก แตอยางไรกตาม ระบบความปลอดภยน ใหไดแค การปองกนทจำากด สำาหรบเครอขายสวนตว ไมมการปองกนขอมล เมอไหรกตามทขอมลหลดจาก เครอขายสวนตว ซอฟแวรเกยวกบความปลอดภยเปนสงทจำาเปน

โครงรางซอฟแวรบางอยางสามารถถกสรางใหเพมระบบความปลอดภย เทคนคนหมายถง Access Control (กลบไปดท 5.3.1) และใชในการจำากดการเขา โดยการระบ IP address ชอผใช และรหส

5.2.2 Protecting Routing and Signaling Protocols

เสนทางโปรโตคอลถกใชเพอสงจายขอมลเกยวกบลงค และการเขาถง เพอทจะให แพคเกตไอพสงไดอยางสมบรณ ถงแมวาการสงขอมลนจะไมไว (ผจดการเครอขายบาคนอยางจะตองการรกษาเครอขายใหเปนแบบโครงสรางนนเอง) โปรโตคอลนนจะถกปองรายไดงาย ซงจะทำาใหระบบลม เชนถาบางคนใส OSPF messages ในเครอขาย ซงทำาใหลงคผดพลาด

จากดานหนงของเครอขายไปยงอกดานหนง นทำาใหการเดนทางของเสนทาง โปรโตคอลตดขด

เชนเดยวกน สญญาณและโปรโตคอลอยางอนจะใชในการจดการเครอขาย และจดการการเดนทางของสญญาณในเฉพาะเสน โปรโตคอลพวกนงายทจะถกโจมตจากขอความทชา

เสนทางและสญญาณโปรโตคอลจะมระบบรกษาความปลอดภยผานสญลกษณหรอเครองหมายทรบรองวาเปนของแท ( กลาวในบทท 5.3.2) การทำางานนอนญาตใหขอความพสจนวาถกสงมาจากพาทเนอร ซงยงปองกนการกระทำาซำา

ในทางปฏบต การใชของแทแทบจะไมไดใชในการกำาจดเสนทางและ จดการสญญาณ สงนตองเกดจากโครงสรางและการจดการ และยงตองเขาใจอกดวยวา เครอขายยงสามารถประยกตใชระบบความปลอดภยไดอกหลายวธ เชอ การควบคมการเขา ระดบเครอขาย

5.2.3 Application-Level Securityผใชโดยสวนมกจะคาดหวงระบบความปลอดภยของไอพวาจะตอง

ปองกนขอมลของพวกเขาในขณะททำาการเคลอนยายขอมลขามเครอขาย ไดมการโตเถยงวาสงอำานวยความสะดวกทสำาคญทสดในการเจรญเตบโตของอนเตอรเนต ไดมการพฒนาใหเชอใจในเทคนคการรกษาความปลอดภย สำาหรบการเปลยนขอมลเปนรหส ถาไมมเครองมอน จะมแนวโนมนอยมากวาอนเตอรเนตจะเปนทยอมรบในดานรายละเอยดการเงน เชน การใหเลขเครดตการด สงเหลานจะจำากดจำานวนคนทใชงานออนไลน

เหมอนกบขอมลการคาซงถอวาเปนขอมลทสำาหรบและตองปองกน ความจรงทวาขอมลเปอรเซนตตางๆ นนนาเบอ และมคาไมมากพอทจะซอน ไมไดถกพจารณาวาเปน มาตรการการรกษาความปลอดภยทด ความกระตอรอรนและการระบโทษจะผานไปอยางยากลำาบากในการผานอเมลทไรสาระนบพนฉบบ เพอนดการประชมตอนกลางวน หรอการถกเถยงเรองเกมสการแขงขน เพอหวงวาจะไดเจออะไรทมคา ดงนนบรษทจงไมมการสง

อเมล อยางเขาใจงายผานเครอขาย ขอมลและอเมลจะถกเปลยนเปนรหส เพอสงผานรหวางบรษทขามเครอขายสาธารณะ

โปรแกรมการรกษาความปลอดภยโดยปกตจะใช หนงถงสองรปแบบ อยางแรกคอผใชสามารถเปลยนขอมลเปนรหสหรอ ใสรหสปองกนขอมลเพอถกสงออก หลายโปรแกรมเชน ไมโครซอฟเวรด หรอเครองมอไฟลอนญาตใหผใช ใชรหสผานกอนทไฟลจะถกเปด รหสผานนมนจะถกสบเปลยนหรอเกบไวในไฟล ดงนนการบโปรแกรมตองใสรหสเดยวกนกอนทขอมลจะถกเหน โปรแกรมทไมธรรมดาทใชรหสผานบอกเปนนยวา ขอมลควรจะถกปรบเปลยนเปนรหส วธนเปนสงทฉลาดเนองจาก โปรแกรมในคำาถามไมใชเครองมอเพยงอยางเดยวในการตรวจสอบไฟล

เครองมออยางทสองน จะคลอบคลมโปรแกรมทใชสงผานขอมลหรอไฟล เพอแยกขอมลจากผใช เชน โปรแกรมอเมลทอนญาตให ผใชใสขอความในแตละอเมล ดงนนผรบจะตองใสรหสเฉพาะกอนทจะเปดอานได ใจความทสำาคญของระบบนคอ การแลกเปลยนระบบความปลอดภยของขอมล ระบบรกษาความปลอดภยจะแยกออกไปถง HTTP มนเปนไปไดทวา ผสงจะสงขอมลทสำาคญเชน เบอรบตรเครดตโดยใช เทคนคการเปลยนเปนรหสผาน

ขอสดทายนเปนทนยมมากโดนเฉพาะในการแลกเปลยนอเมล คอลายลกษณตวเลข เทคนคนอนญาตใหผรบแยกแยะวาขอความทอานอยน ไดถกสงโดยผเขยน และขอความไมไดถกดดแปลงโดยบคคลทสาม

โปรแกรมรกษาความปลอดภยมทงจดออนและจดแขง มนอนญาตใหผใชควบคมไดเตมทในการดำาเนนการทตางกน แตในเลาเดยวกนในกอนญาตใหผใชสรางขอผดพลาดหรอ ลมมาตรการบางาอยาง รแบบการรกษาความปลอดภยตองนำามาประยกตในในแตหละโปรแกรมทตางกนเพราะ แตละโปรโตคอลยอมตางกน ถงแมวารปแบบนควรจะใชงานเหมอนกนทวไป โปรแกรมจะถกพฒนาโดยบรษทซอฟแวรทตางกน และไมสามารถไวใจ การกษาความปลอดภยของบคคลกลมทสามได ทลกคามกจะซอและลงโปรแกรม ดงนนแตละโปรแกรมตองการ การรกษาความ

ปลอดภยของมนเอง ทางเลอกคอ ประยกตการรกษาความปลอดภยน ใหเขากบเสนทางทงหมดของ ชนทตำาๆ ดงทจะกลาวตอไปในอก 2 บท นแสดงใหเหนวา ยงใชระบบรกษาความปลอดภยมากเทาไหร ขอมลกจะถกสงชาขน

5.2.4 Protection at the Transport Layer Transport protocols มหนาทขนสงขอมลชอของโปรแกรม

เหนอเครอขายไอพ transport-layer protocols ทตางกนกให ระดบการทำางานทตางกน เรมตงแตการสงขอมลไปจนถงการรบประกนวาไดขอมลเปนทเรยบรอยแลว

ยง Transport protocols ยงซบซอน รวมถงระบบความปลอดภยขนพนฐานบางตวทถกใชในโปรแกรมทไมรวม มอด จะรกษาความปลอดภยของการถายเทขอมล นมขอดของการรวบรวมขอมลทงหมดดวยกน ระบบรกษาความปลอดภยทกอยางในทเดยว และลอยโปรแกรมทมโครงสรางเหลานน ในทางกลบกนการยกระดบการรกษาความปลอดภยไมไดเกดขนในทก transport protocols เชน User Datagram Protocol ทโดงดง ซงจะจำากดการรกษาความปลอดภย

บางทเรองทใหญทสดสำาหรบการรกษาความปลอดภยการสงขอมลคอ อยาซอนหรอปกปองฝาย Transport protocols ทสำาคญ ฝายนจะระบแหลงและจดหมายของขอมลและใหคำาใบตอการเปลยนขอความ ยงไปกวานนการไมปกปองพวกนเปนพนฐานของการสงขอมลใหสำาเรจ ถาไปทำาการเปลยนมนการทำางานจะถกรบกวน

5.2.5 Network-Level Securityวธทดทสดสำาหรบระบบความปลอดภยระดบโปรแกรม คอการจดการ

ชนเครอขาย ในทท ไอพแพคเกต และ ไอพเฮดเดอรถกรกษาอย วธนมผลดหลายอยาง วธนดสำาหรบทกๆการเดนทางของไอพ ในทกๆจดสนสด มนมประโยชนในการปองกนขอมลและสามารถใชในการปองกนการเปลยนเสนทางและสงสญญาณ

ระบบรกษาความปลอดภยไอพ (ไอพ เซค) เปนตวหลกใน การรกษาความปลอดภยระดบเครอขาย มนใชการระบผสงขอความทแทจรง เพอพสจนวาขอมลไมไดถกปรบเปลยน หรอถกซอนไว ไอพ เซคใชสำาหรบโปรแกรมอยางกวางขวาง จากการปองกนสญญาณและเสนทาง เพอทจะเกด Virtual Private Networks (VPNs) ในอนเตอรเนตสาธารณะ

5.3 COMPONENTS OF SECURITY MODELSความปลอดภยจะบรรลผลโดยการสรางสวนประกอบทแตกตาง

อธบายตามสวนทขางลาง สงเหลานนคอกญแจไฟฟาสำาหรบบานประตแบบตางๆ ซงขอจำากดขนอยกบความสามารถของระบบหรอผใชในการเขาระบบทองถน การพสจน หลกฐานผสง และขอมลทพวกเขาไดสงเปนขอพสจนถงความเปน อจฉรยะและไมตองแกไข และ แกรหส ซงขอมลถกปองกนโดย รหส สวนประกอบเหลานนสามารถทจะใชไดในทกระดบภายในเครอขาย

5.3.1 Access Controlกญแจสำาหรบผานทางเปนความปลอดภยทงายได และพบเหนบอย

โดยสรางขนมาจากแนวความคดของความปลอดภยทางกายภาพ ซงไมมความเกยวของกบโลกภายนอก กญแจสำาหรบผานทางกดขวางผใชทไมไดตดตงเครอขาย ไมใชเจาของ หรอ ผใช กญแจสำาหรบผานทางทพบบอยๆจะมาในรปแบบของ ชอผใช และ รหส กอนทผใชจะเขาใชไดจะตองปอนรหส และชอ ในระบบกระบวนการทำางานและการใช มนเปนไปไดทจะจดกลม ผใช ซงมหลากหลายชอ ซงสามารถทจะสรางขอจำากด วาพวกเขาทำากจกรรมใดไดบางกลมพเศษเทานนทสามารถจะเขาถงขอมลและทำาหนาททเกยวของกบความปลอดภย (เชนการหมอบหมายใหจดกลมรายชอผใช)

การปองกนชอผใชและรหส ใหการลอคและกญแจ สำาหรบผานทาง และพรอมกบมนกคอปญหาทผใชทงทางเขาเอาไว จะเกดอะไรขนผใชทำาการเขาระบบแลวลกออกไปจากคอมพวเตอร แลวมนจะเปนไปไมไดหรอทมคนอนเขามาใชรหสแทน เพอชวยในดานน ไดมการลอคแบบอตโนมต

เมอปรากฏวาไมไดมผใชเปนระยะเวลาหนง และในบางกรณผใชอาจจะตองปอนรหสใหมอกครง

แตมนกเหมอนกบคนบางคนทใหเพอนยม บตรเอทเอม ของพวกเขา และบอกรหสบตรใหเพอนเพอทจะประหยดเวลาในการเดนทางไปธนาคาร ดงนนการปองกนชอผเขาใชกบรหสจะไมอยในวงของการเปนความลบ ยงไปกวานนรหสจะตองถกจดจำาโดย ผใชทซงมคอมพวเตอรหลายเครอง ซงกจะใชรหสเหมอนๆกน โปรแกรมซงใชโดยนกลวงขอมล เพอทจะเขาสระบบคอมพวเตอร โดยการลองชอผใชและรหสหลายๆครง และพยายามทจะถอดรหสกอนแลว ลองใชรหสทคนสวนใหญนาจะใชกน กอนทจะเลอกคำาจากพจนานกรม มนเปนสงทนาสนใจ เชนรหส NCC1701D เปนเบอรของ เรอเอนเตอรไพดร เปนรหสทคนสวนใหญมกใช

ระดบตอไปของความปลอดภยสามารถทจะทำาไดคอ การใชโปรแกรมทเรยกวา Firewall ซงสามารถทจะสรางเกราะความปลอดภยระหวาง เครอขายสวนตวของคณและโลกภายนอก Firewall จะแทรกระหวางสวนทเปนสวนตวและเครอขายสาธารณะ ตามทแสดงในรปท 5.1 โดยปกต การเขาและออกจากอนเตอรเนต จะเปนโดย การตดตอผานทางประต แตในกรณน การแลกเปลยนทงหมด ระหวางเครอขายสวนตว และอนเตอรเนตทจะผานเราเตอรของ Firewall

Firewalls มหนาทควบคมการเขาถง พวกมนจะกรองกลมขอมลของ IP ทพวกมนสงตอตามคณสมบตตางๆ รวมทงแหลงและ IP address ปลายทาง , วธpayload , หมายเลข transport port และคณสมบตอนทผจดการความปลอดภยเหนวาเหมาะสม โครงสรางทงายทสดเรยกวา IP Access Lists และถกแสดงรายชอของ IP addresses ทอนญาตใหหาขอความทจะผานเขาไปเครอขายสวนตวผาน Firewall. ตวกรองอนๆ จะจำากดการเขาถงเฉพาะ hosts ทกำาหนด (IP addresses ปลายทาง) แลวจงจำากดกลมขอมลทเขามากบ host ทมวธการจำาเพาะ (เชน TCP) และหมายเลข port จำาเพาะปลายทาง (เชน port 80 สำาหรบการเขาถงเวบ). กลมขอมลทไมไดรบอนญาตใหผานจะถกกำาจดทง ไมมการสงคนขอความทผดพลาดเนองจากมนจะชวยให hacker พบวธแทรกซมความปลอดภยได

ตวกรองทใชท firewalls สามารถเปนแบบ inclusive หรอ exclusive (หรอเปนทงสองแบบ)—นนคอ พวกมนอาจจะเปนรายชอของกลมขอมลทอนญาตใหผาน หรอเปนรายชอของกลมขอมลทจะถกปฎเสธไมใหผาน มขอดและขอเสยของแตละวธ และ ตองทำาคดคำานวณระหวางคาใชจายของโครงสรางทผดทอนญาตใหผท ำาผดกฎหมายเขาถงและพวกทปองกนการใชงานทถกกฎหมาย กรณหลงสามารถต ร ง ไ ด ง า ย แ ล ะ (ผจดการความปลอดภยไมตนตะหนกหรอมปฎกรยาร นแรงเก น ไปก บผ ใ ช ง านท รบกวน ) มนมกจะถกมองวาด กวาท จะสราง profile ของผใชงานและประเภทของกลมขอมลทไดรบอนญาตใหเขาถงมากกวาพยายามทจะแสดงรายชอของแหลงทไมไดรบอนญาต

แบบจำาลอง firewall อนจะมคอมพวเตอรเพมระหวางเราเตอร ของ firewall และเราเตอรของประตสญญาณ คอมพวเตอรนจะทำาหนาทเปนประตสญญาณของการใชงาน และการเชอมโยงทงหมดจากดานหนง

ของ firewall ไปยงอกดานหนงจะถกทำาให สนสดและถกสรางใหมท node น ดงแสดงในภาพท 5.2. ประตสญญาณของการใชงานสามารถเพมความปลอดภยโดยการใชการควบคมการเขาถงบนแตละดาน เพอใหการเชอมโยงทไดรบอนญาตแลวเทานนอยระหวางเครอขายสวนตวและประตสญญาณของการใชงาน และ อนเตอรเนต. ประตสญญาณของการใชงาน จะสรางแผนทคำารองการเชอมโยงไปยง hosts ทแทจรงภายในเครอขายสวนตว, และซอน nodes เ ห ล า น น จ า ก โ ล ก ภ า ย น อ ก ซงเปนคณสมบตทคลายกบสงทใหโดยพรอกซของ HTTP

เชนเดยวกนประตสญญาณดงกลาวอาจจะสรางแผนทวธการใชงานหรอวธการของเครอขายททำาใหเขาถงอนเตอรเนต สำาหรบการครอบครองหรอเครอขายทไมมาตรฐาน

ความปลอดภยของ Firewall อาจจะถกทำาใหลดลงเพอทำางานบน single box เพอใหประตสญญาณของการใชงานรวมกบเราเตอรของ firewall หรอคอมพวเตอรบานอาจจะควบคมการเขาถงอยางงายบนการเชอมโยงแบบตอสายโทรศพทกบ อนเตอรเนต

Firewalls เปนวธแกปญหายอดนยมเนองจากเปนแนวคดงายๆและใหการจดการความปลอดภยจดเดยวทำาใหเกดความรบผดชอบของความปลอดภยในมอของคนๆเดยวในการจดการ

และconfigure คอมพวเตอรเคร องเด ยววธการด งกล าวยงมราคาถ กต องการเพยงองค ประกอบเครอข ายเพ ม เพยงต วเด ยวและใหความปลอดภยผานการแกปญหาซอรฟแวรอยางงาย ในทางกลบกน การกรองกลมขอมลนอาจจะสรางความตดขดทไมตองการในเสนทางของการจราจรของขอมลทถกกฎหมายเนองจาก กลมขอมลทงหมดจะตองผานการเชอมโยง 1 จด และขอมลแตละตวจะตอง มชดการตรวจสอบตอกฎทสรางขน

อยางไรกตามในตอนทายการควบคมการเขาถงกยงมประสทธผลทจำากดผใชงานทผดกฎหมายอาจจะป ล อ ม เ ป น ผ อ น โ ด ย ก า ร ข โ ม ย ผ ใชงาน names และ passwords หรอเปลยน IP addresses เพอผาน firewall. ธรรมชาตของ firewall ทมการกะ เทาะออกผ านการล วงล ำาอาจจะ เก ดข น

นหมายความวาความปลอดภยทงหมดจะเกดขนไดผานเทคนคทซบซอนมากขนทจะอธบายในตอนตอไป

fire wall n: กำาแพงทสรางขนเพอปองกนการแพรกระจายของไฟ

5.3.2 Authenticationการรบรองความเปนของแทม 2 วตถประสงค: ม นพ ส จน ว า ผ ใ ช

งานหรอผสงขอความคอเขาหรอเธอทอางวาเปน และยนยนวาขอความทไดรบเปนของแทและไมไดถกเปลยนแปลง ทระดบการใชงาน เครองหมายรบรองความเปนของแทมกจะถกใหผาน ID ของผใชงาน และการสรางการแลกเปลยนรหสผานบนกลไกการควบคมการเขาถงการใชงานไดถกอธบายไปแลว การรบรองความเปนของแททระดบการใชงานมกจะถกใชเพอการต ดต อหรอการประช ม (ทระดบสง) แมวาแตละองคประกอบของการตดตออาจะเปนของแทผานการใชลายมอชอแบบดจตลกตาม

ทระดบขอความในวธการวางเสนทาง การสงสญญาณและ การขนสง หรอใน IP ดวยตวมนเอง การรบรองความเปนของแทมกจะใชรปแบบของกระบวนการพสจนทใชกบสวนหนงหรอทงหมดของขอความทถกสง ผสงจะ runs วธการนบนขอความทงหมด (มกจะเชอมดวยสายความลบทเรยกวา key) และรวมผลลพธจากวธการนพรอมทงขอความทสง ผรบจะใชวธการเดยวกนบนขอควาทโดยใชคยเดยวกนและตรวจสอบวาผลลพธของมนเหมอนกบทไดรบหรอไม ความพยายามใดๆโดยบคคลท3 ในการดดแปลงขอความจะทำาใหคำาตอบของผรบแตกตางจากคำาตอบในขอความ เนองจากคยไมถกสงผาน และเนองจากมนถกทราบเฉพาะถงผสงและผรบ ผโจมตไมสามารถซอมแซมขอความเพอทำาใหกระบวนการทำาใหเปนของแท

การใชหมายเลขลำาดบภายในขอความของ protocol ทปองกนโดยวธการรบรองความเปนของแทจะชวยกำาจดการโจมตแบบ เลนซำาเนองจากขอความทถกเลนซ ำาพรอมกบเลขลำาดบทเพมข น จะทำาใหการทดสอบความเปนของแทลมเหลว และขอความทเลนซ ำาโดยปราศจากหมายเลขลำาดบจะถกปฎเสธโดยวธการน

5.3.3 Encryptionการรบรองความเปนของแทเปนสงทด แตมนไมปองกนความเปน

สวนตวของขอมลทสงผานหรอบนเครอขายสาธารณะขอมลนถกเปดเผยและอาจจะถกอานไดงายโดยใครกไดทใชเทคโนโลยงายๆความเสยงตอรหสผาน รายละเอยดทางการเงน และขอมลทเปนความลบตองการเทคนคอนเพอซอนหรอสรางรหสขอมลทสง

เทคนคการสรางรหสบนอนเตอรเนตไมคลายกบเทคนคทใชในภาพยนตรสบสวนทงหมด บางสตรถกใชกบขอมลแหลงเพอเปลยนเปนตวอกษรทไมมความหมาย ขอมลนสามารถถกสงทางอนเตอรเนตไปยงผรบทใชสตรอนเพอถอดรหสขอความและพบขอมล

วธการสรางรหสทประสบความสำาเรจอาศยความจรงทวาบางคนทขด

ขวางขอความไมสามารถถอดรหสไดทนท วธแรกของเทคนคนคอรกษาการสรางรหสและถอดรหสความลบของสตรถาวธการนด จะไมมใครสามารถแปลขอความทถกแลกเปลยนปญหาของเทคนคนคอ เนองจากวธการนเปนททราบดสำาหรบกระบวนการความปลอดภยในการใชงานอยางกวางขวาง ซงทำาลายประสทธผลในฐานะทเปนการประเมนความปลอดภยในขนแรก

การแกปญหาคอปรบปรงวธการสรางรหสดวยคย คยเหลานจะใหสงทปอนเขาไปเพมเตมในการสรางและถอดรหส ทำาใหมนมเอกลกษณ แมวาวธการนจะเปนทแพรหลายกตาม คยนมความเปนสวนตวกบผสงและผรบขอความ

การสรางรหสอาจจะถกใชทระดบตางๆ ภายในเครอขาย ในกรณตางๆ การใชงานหรอผใชงานจะสรางรหสขอมลบางสวนหรอทงหมดทตองการสง ตวอยางเชน วธการทรายละเอยดของบตรเครดตถกแลกเปล ยนร ะหว างการต ดต อการค าบน World Wide Web. ในสถานการณอน การขนสงหรอเมอเครอขายถกรองขอใหสรางรหสในชอของการใชงานซงเปนการสรางรหสทแพรหลายมากทสดและเทคนคการรบรองความเปนของจรงทช นเครอขายจะกำาหนดใหโดย IPsec ซงจะอภปรายในตอนตอไป

การรบรองความเปนของแทและการสรางรหสอาจจะถกนำาไปใชแยกกนหรอรวมกน

5.4 IPsecความปลอดภยของ IP (IPsec) หมายถง วธการมาตรฐานท IP

datagrams อาจจะถกทำาใหเปนของแทหรอสรางรหสเมอพวกมนถก

แลกเปลยนระหวาง 2 nodes. โครงสรางของความปลอดภยสำาหรบ IPsec ถกอธบายใน RFC 2401, และ RFC 3457 ทอธบายวธการทวไปบางอยางท IPsec อาจจะถกใช วธการนจะขยายเพมเตมสำาหรบ IPsec ถกนยามใน RFC 2402 (การรบรองความเปนของแท) และ RFC 2406 (การสรางรหส) และถกอธบายในตอนตอไป

การแลกเปลยนแพคเกจความปลอดภยโดยใช IPsec เกดขนระหวางคของ nodes ททำางานรวมกน ทสราง กลมความปลอดภย (SA) SA หมายถงประเภทของความปลอดภย (การรบรองความเปนของแท และหรอ การสรางรหส) วธการ และคยทถกใชกบกลมขอมลของ IP ทงหมดทแลกเปลยนกนระหวาง nodes ในขณะทประเดนของความเทยงตรง SA มทศทางเดยว แตมนอาจจะธรรมดาในการยกตวอยางประกอบพวกมนทง 2 ทศทางโดยใชตวอกษรเดยวกนทมขอยกเวนของคย ซงอาจจะแตกตางกนสำาหรบแตละทศทาง

IPsec อาจจะถกใชปลาย-ถง-ปลายระหวางคอมพวเตอรของ host หรอทางเครอขายโดยเซรฟเวอรความปลอดภยของพรอกซในนามของ hosts. นนคอ SA อาจจะขยายจากแหลงขอมลไปยง data sink, หรออาจจะครอบคลมเพยงบางสวนของเสนทางระหวาง 2 จดปลาย

5.4.1 Choosing between End-to-End and Proxy Security ภาพท 5.3 แสดงความแตกตางระหวางความปลอดภยแบบปลาย-ถง-ปลาย และแบบจำาลองของพรอกซ ในกรณ ปลาย-ถง-ปลาย กลมความปลอดภยจะขยายจากแหลงไปยงปลายทางและกลมขอมลจะถกสรางรหสทงหมดหรอทำาใหเปนของแทตลอดเสนทางของมน นเปนวธแกปญหาความปลอดภยไดมากทสด

สำาหรบความปลอดภยของพรอกซ เสนทางของ node ไปตามเสนทางของขอมล (proxy) เพอใช IPsec กบ กลมขอมลของ IP และสงผานพวกมนไปยงพรอกซอนทใชการไดหรอถอดรหสกลมขอมลกอนผานพวกมนไปยงปลายทางสดทาย

IPsec อาจจะถกใชในแบบจำาลองปลาย-ถง-ปลายหรอเพยงสวน

หนงของเครอขายโดยใชความปลอดภยของ proxy

ตวแทนการรกษาความปลอดภยมการปรากฏใหเหนอยางชดเจนเกยวกบขอเสยหายนนคอกลมขอมล ( data packet ) จำานวนหนงทมความสมพนธเปนเรองเดยวกนใชในเรองการสอสารขอมลจากสวนทออนแอ อยางไรกตาม มนมจดทแนนอนหลายจดนนหมายถงการทำาใหมนมประโยชนและเปนทแพรหลาย เรมแรก มนลดหรอบงคบใหการสนบสนนในสวนทซบซอนในรปแบบรางของตวแทน หนงตวแทนสามารถทจะทำางานไดหลาย ๆ วตถประสงคทงยงอนญาตใหรหสการรกษาความปลอดภยเพงเลงบนตวแทนหลาย ๆ อน นคอการประมวลผลทเปนสวนขยายทอนญาต SA อนเดยวนำาสงขอมลทเปนสวนหนงมากมายหลายอยางของ data stream นคอทางทอาจจะพอเปนไปไดเพยงแตวาผทใชบรการสวนมากนนจะใชประโยชนโดยตองการใหตวแทนหนงตวแทนตดตอกบผทใชบรการคนอน ๆ โดยทการทใชตวแทนตวทสอง ในการจดการในทนนนกลมขอมล IP จาก data stream ทเปนกลมเดยวกนและมการปฏบตในรปแบบมาตราการรกษาความปลอดภยเหมอนกนและสงเสรม

ความกาวหนาเหมอนกบการตอคอมพวเตอรในเครอขายทมแมขายตงไกลออกไป ขอสดทายในการไดรบประโยชนจากการใชตวแทนนนกคอใน IPsee สามารถซอนขอมลและจดหมายปลายทางของขอมลเหมอนกลมขอมลทพจารณาในสวนกลางของระบบเปรยบเสมอนวาเปนหวขอสดทาย เมอกลมขอมลเขาส IPsee ทงหมดเปนขอมลทพจารณาใหจดเกบในสวนของ IP ขอมลใหมซงจะเคลอนไหวระหวางตวแทน ทงนการเพมขนในการรกษาความปลอดภยโดยไมเผยใหรถงจดสนสดของความเคลอนไหวของขอมล

จดทสนสดของการรกษาความปลอดภยคอเมอการตดตอคอมพวเตอรในเครอขายสวนตวตดตอกบระบบตาง ๆ อยางเชน การตอ internet โดยใชสายโทรศพทสาธารณะ เปนตน ตวแทนของการรกษาความปลอดภยคอเมอการระบบโทรศพทสาธารณะเชอมตอกบระบบดวยกนซงเปนสวนหนงของบรษทเดยวกนในลกษณะเหมอนระบบสวนตว

5.4.2 Authentication จากคำาอธบายในขอท 5.3.2 การรบรองคอความสำาเรจโดย

การประมวลผลของขอความกบการปอนขอมล นเปนตวอยางในขอท 5.4 ใน IPsee มาตรฐานสวนแรก payload ของขอมล และการปอนขอมลเปนการประมวลผลทผานเขาไปในขนตอนวธการรบรองใหแกผลประโยชนจากการรบรองขอมล การรบรองขอมลคอตำาแหนงในตวนำาการรบรอง

FIGURE 5.4IPsec authentication is used to verify that the

sender of a message is legitimate and that themessage has not been tampered with.

บรรจในระหวางตวนำา IP และ payload ตวนำาของการรบรองอยในหวขอท 5.5

ขนตอนการเขยนโปรแกรมจากจานบนทกคอการแสดงบนขอมล IP ทวไปเปนการสงผาน ซงเปนตวนำามาตรฐานและขอมล คาของการใหกำาเนดโดยขนตอนการประมวลผลการเขยนโปรแกรมจากจานบนทกอยในตำาแหนงของการรบรองขอมลใชเหมอนกบการปอนขอมลแตไมใชตวนำาการรบรอง ผลลพธคอการเปรยบเทยบกบการสงผานการรบรองขอมลททวนสอบซงไมไดเปลยนแปลงของขอมลทเกดขน การประมวลผลและการจดรปแบบของ IPsee ตวนำาการรบรองอธบายอยใน RFC 2402

ขนตอนการรบรองสามารถทจะเปนประโยชนและสมบรณเปนการกำาหนดเอาไว ตำาแหนงของ IPsee จำาเปนตองทำาใหเกดผลซงสวนมากขนตอน MD5 เปนผสนบสนน มนคอความตองการซงทงสองฝายทงผรบและผใหนนรซงขนตอนการรบรองนนเปนประโยชนในการใชและผลของการปอนขอมล IPsee ไมสามารถพจารณาวาขอมลนมการเปลยนแปลงอยางไรหรอการเปลยนแปลงโครงสราง

ประเดนแรกควรจะเปนการปรากฏทเหนไดในทนททนใด บางอยางของคาในตวนำา IPsee อาจจะเปนการกระทำาทถกตองตามกฎหมายเหมอนการดดแปลงคลายกลมขอมลทพจารณาในระบบและนอาจจะเปนการยกเลกการประมวลผลการรบรอง ซงควรระวงปญหาจากขนตอนการเขยนโปรแกรมจากจานบนทกเปนการบอกกลาวให IPsee กบการชะงดการปอนขอมลเฉพาะในโปรแกรมประเภทการจดการฐานขอมลเปนศนย ตอจากเกณฑวธขอมลเฉพาะในโปรแกรมประเภทการจดการฐานขอมลคอการดดแปลงโดยการบรรจของตวนำาการรบรอง มนอยในวางท 51 ซงเปนการอาการซงตวนำาการรบรองเปนผแสดงออกมา ขนตอนการเขยน

โปรแกรมจากจานบนทกคอการบอกกลาวซง IPsee ทขอมลกอนทจะบรรจในตวนำาการรบรองและทจดหมายปลายทางมนจะแสดงหลงจากเอาออกจากตวนำาการรบรอง ตวนำาการรบรองเกณฑวธ payload สำาหรบทำาใหกลบมาสมบรณจนถงตวนำา IP และอาการของมนทมระยะนานสำาหรบเหตการณกำาจดออกไป

ขอสงเกตสดทายอาจจะเปนการทำาเกยวกบการบรรจของตวนำาการรบรอง การแสดงของตวนำานนบางทอาจจะเกดจากขนาดของกลมขอมล IP ทำาการละเมด MTU ในการ link เขาหาระบบอน ๆ

ถาจะแยกออกนนเปนสงทไมอนญาต ขนาดของกลมขอมลนนจะตองดดแปลงกอนทจะนำาไปใชในการรบรอง เพราะวากลมขอมลนนอาจจะแบงออกเปนสวน ๆ การแยกออกของขอมลของเครองคอมพวเตอรในเครอขายไมแตกตางจากการแยกออกจากการในระบบ มนคอการแสดงออกของทงหมดทงสนของขอมล IPsee รวมไปถงตวนำาของการรบรองและเมออกเปนสวน ๆ จะตองทำาใหแนใจอกครงกอนทจะทำาเปนการรบรองในขนตอไป

ตวนำาของการรบรองรวมไปถง SPI ซงเปนการใชในแบบเดยวกบสมาคมการรกษาความปลอดภยซงไดจดการเกยวกบกลมขอมลน การใหขอมลและทอยปลายทางมาดวยกนนน SPI ทมอนเดยวทเปนพเศษในบรบทการรกษาความปลอดภย การบงบอกเกยวกบผรบซงขนตอนวธและการปอนขอมลทใช SPI ควรจะเปนสงทใหกำาเนดการสมตวอยางใหเปลยนเปนการทำานายและใหกำาหนดโอกาสการเรมตนขอมลในเครองคอมพวเตอร

ในเครอขายเปนเครองประกอบการทำาซำาในสมาคมการรกษาความปลอดภยอนเดม SPI มคาตงแต 0 ถง 255 คอการจองเอาไว ในลำาดบหมายเลขนนเปนการออกแบบใหชวยเหลอในดานการขดขวางการปฏเสธของการตอตานการบรการในระหวางขอมลทจะมาประสงครายและการทำาซำากลมขอมลหรอการเรยงลำาดบกลมขอมล การเรยงหมายเลยนนอาจจะสามารถชวยเหลอจดหมายปลายทางของขอมลของเครองคอมพวเตอรในเครอขายใหสนสดซงการรบกลมขอมลคอการจำาลองหรอเปนการนำาเอาออกไปและเปนการเลกใหออกไปจากการประมวลผล สดทาย ขอความภายในตวนำาของการรบรองถกนำาออกมาจากขนตอนการเขยนโปรแกรมจากจานบนทกในทเกบขอมลซงอาจะเปลยนแปลงไดเรอย ๆ ขนอยกบขนตอนวธการใชดวย

การรบรองสามารถเปนการบอกกลาวในตอนสดทายของการออกแบบหรอการใชตวแทน

5.4.3 Authentication and Encryption เมอขอมลถกเขยนเปนรหสลบในขนตอนการเขยนรหสลบเปนการ

ปอนกบขอมลและการปอนรหสลบ การใสรหสเปนการการไหลของขอมลใหมซงอาจจะยาวกวาขอมลเดม เมอ IPsee เขยนรหสลบเปนการใชการสนสดของกระบวนการ สวนของขอมลของ IP เปนรหสลบและการเขากบ ตวนำาของ IP อนเดม การเขารหสขอมลคอชอของ ESP และคอตำาแหนงทอยระหวางตวนำา ESP และการสงสาร

ในตวแทนของ IPsee ของการเขารหสทงหมดของขอมลเปนการเขารหส กลมขอมลใหมคอการสราง ตวนำา IP ตวใหมซงเปนการนำาทางเพอใหเปนชองทางจากหนงตวแทนสคนอน ๆ ขอมลใหมนนเปนขอมลการเกบการเขารหสระหวางตวนำา ESP และการสงสาร

ขนตอนวธการเขารหสมหลายทางและจดใหมการปอนขอมลมากบางนอยบางอาจจะซบซอนกนไป บรษท a ไดถอกำาเนดขนเพอตอสกบการทจะรกษาความเปนสวนตวและโปรงใส IPsee ไดรบคำาสงซงเปนการสงเสรมตองมการสนบสนนจาก Des

การประมวลผลของการเขารหสของ IPsee เปนการอธบายใน RFC 2406 หลงจากทขอมลธรรมดาของตวนำา IP ซง

นำาเกณฑวธถดจากคาท 50 ใหเปนเครองแสดงซงตวนำา ESP เปนตวแสดง ตวนำา ESP เปนตวเรมกบ SPI และการเรยงจำานวนซงเปนการใชหนทางออกในแบบเดยวกนเหมอนทงหมดนเปนการอธบายการประมวลผลการรบรองในแบบกอน ๆ อยางไรกตามกลมขอมลเปรยบเสมอนเปน

ขอมลเลก ๆ มนงายมากตอการทำาความเขาใจวามนมการทำางานอยางไรจากตนจนจบขนตอน

ถาการรบรองเปนการเสรมใหแกการเขารหส นอาจจะเปนความรจากขอมลและจดหมายปลายทางและสวนตาง ๆ ของขอมลการรบรองกบความรทดเยยมทยาวนานอาจจะเปนกลมขอมลในคำาสงดอส ดานหนาของเนอทจดเกบขอมลในคอมพวเตอรซงเชนเดยวกบเกณฑของการเขารหส ใน IP นอธบายวาการเกบขอมลไมจำาเปนในการปรากฏออกมา แตไมมเหตผลอะไรทแบบแผนของการเขารหสควรจะเปนการใชโดยไมนำาสงทาง IP ผานทาง IP Network

ถาใชตวแทนการรกษาความปลอดภย ถดจากเกณฑวธเดยวกนเปนระบบ 0x04 แกการบอกเลา แมวาเกณฑวธเดยวกนทถดมาเปนการทำาซำาจากตวนำาเดยวกนของ ตวนำา IP ตนแบบและแสดงออกแบบเดยวกน

การกลบมาใหทำางานอกครงนนเพอทผานเขาไปในกลมขอมลนบวาเปนการรวบรวมใหเตม การทำาใหเตมนนคอการแสดงออกทจดสนสดของการเขารหสของขอมลและสวนมากของการวตถประสงคของการบรการ

- อาจจะเปนสงทจำาเปนในการทำาใหแนซงจดสนสดของเกณฑวธบน 4 byte

- ขนตอนการเขารหสอาจะเปนความสามารถทนอกเหนอจากขอมลซงนคอกรแสดงออกหลายทางของจำานวนทงหมดของเนอทการจดเกบขอมล

- มนเปนประโยชนใหแกการเปลยนแปลงอยางยาวนานของกลมขอมลในสงทเปนอยทสงขามเครอขายเพอดกวา ตวอยางเชน การปอนการเขารหส

ในการทำางานครงตอ ๆ ไป พวกเราไปถงการเขารหสของขอมลโดยตวเอง นคอตวนำา IP และขอมลซงอาจจะเปนการทำาขามเครอขาย สงเดยวกนคอการกำาหนดเฉพาะเจาะจงใหแกขนตอนการเขารหสและรวมไปถงขอมลทก ๆ อยางทตองการโดยขนตอนการถอดรหสลบกอนทจะลงมอทำา

ถา IPsee ไมเปนตวทใชในการปองกนขอมลในเครอขาย สงกระตนถดมาเปนจะผทชวยในการปองกนทเปนขนตอนการขนสงคลายกบการอธบายในหวขอตอไป

5.5 Transport-layer Security ขนตอนการขนสงการรกษาความปลอดภยเปนการจดหาโดย TLS

เกณฑขนตอนนเปนสงเลก ๆ สองเกณฑออกแบบใหแกการทำางานใน TCP โดยจะอยทระหวาง application และเกณฑของการขนสงผานโดยการใชงานของ SSL

TLS Handshake Protocol เปนการทำางานทเกยวพนกนกบการเขารหสและการดการการรบรองคอใชในการทำางานการเชอมตอบน TCP อาจจะรวมไปถงขอมลทอดแนน เกณฑการบนทกของ TSL จดใหมตวจกรสำาหรบการเปลยนแปลงของการจบมอกนของขอความและเปนความรบผดชอบตอการรบรองและการการเขารหสของขอมลทเปลยนแปลงนอก

เหนอจากการเชอมตอ TCP มนทำางานบนพนฐานขนตอนวธการนำาเขาดวยกนหรอการเขารหสของขอมลซงเปนการผานใหเขาไปยงเตารบขอมล API เตารบ API อนญาตให application ใหแกขอมลทผานจากการกดกนอยางไรเหตผลแตขนตอนการเขารหสจดใหบนทกการกำาหนดทยาวนานดงนนสงแรกทเกณฑการบนทก TLS ควรจะทำาอตราความเรวของขอมลในการบนทกอยางสมบรณพรอมรบการประมวลผล การกดกนของขอมลอาจจะเปนหนวยความจำาในการบนทกของ 214 bytes หรอนอยกวานน ซงทงหมดอาจจะเปนเกยวกบการปฏบต ในหวขอท 5.9 นนเปนการแสดงใหเหนถงวาวธการเกบขอมลอยางไรและทอยของเตารบและความปลอดภยของเตารบ APIs ทสมบรณ

รปแบบของ RFC 2244 คอการใชเครองหมายทเฉพาะอยางเชน C หรอ XRD ซงทงหมดจะปรากฏในสวนของขอมล สวนเปาหมายทสำาคญนอาจจะการพอเพยง เพราะวาโครงสรางนนสามารถดงขนมาไดอยางงงายดาย ทำาการแปลโปรแกรมและใชในการสรางและถอดรหสขอความ แตมนควรจะเปนการเรยกซำา ๆ ซงแบบโครงสรางอาจจะเปลยนแปลงโดยผททำาการแปลโปรแกรมบนสายโทรเลขสวนทเหลอนนอาจจะเปนคาทคงท ในรปแบบพนฐานของการบนทก TLS แสดงใหเหนในขอท 5.10 การบนทกนนเปนการสงทคลายกบการทำาการสงของ IP packet กบหวขอทถดจากขอมลการจดเกบพนฐานท 56

การบรรจสวนของขอมลการจดเกบพนฐานแสดงวาการบนทกเปนการขนสงขอมลหรอเปนการใชในการจดการประมวลผล แสดงใหเหนขอมลในตารางท 5.1 เกณฑวธอยใน version ท 3.1 และเปนการถอดรหสใน 2 ขอมลการจดเกบพนฐาน TLS เปนพนฐานของ protocol เรยกวา SSL

สวนการบนทกขอมล TLS อาจจะบรรจในการควบคมขอความหรอขอมล ถาขอมลนนใหญเกนไปในการใสในหนงขอความควรจจะทำาเปนสวน ๆ หรอสงเปนชด ๆ ของขอความ ในสวนการทำาเปนสวน ๆ นนไมควรรจะมขนาดใหญมากเกน 214 bytes หลงจากทมการทำาขอมลไมใหอดแนน การอดแนนขอมลหรอขอมลการเขารหสลบสำาหรบการขนสงของขอมลเปนการเลอกดวยโครงแบบหรอดวยการใช TLS Handshake Protocol ในการอธบายทหวขอ

5.5.1 The Handshake ProtocolThe Handshake Protocol คอทางเลอกขนตอนการขนสงการ

รกษาความปลอดภย มนเปนการเคลอนทและเปลยนตวเสรมการรกษา

ความปลอดภยใชสำาหรบในขอความของการ TCP Connection ถาการแลกเปลยนสญญาณระหวางคอมพวเตอรสองเครองทเชอมโยงกนทไมใช ตวเสรมการรกษาความปลอดภยจะเปนตวเปลยนดวยบางสง เชน Manual Configuration

ขอความการแลกเปลยนสญญาณระหวางคอมพวเตอรสองเครองทเชอมโยงกนเปนการขนสงในการบนทกการเปลยนแปลง TLS การบนทกการแลกเปลยนสญญาณระหวางคอมพวเตอรสองเครองทเชอมโยงสวนท 23 เปนผทำาและหนงหรอมากกวาสวนการบนทกอาจจะเปนการขนสงขอความ (สวนของการแลกเปลยนสญญาณระหวางคอมพวเตอรสองเครองทเชอมโยงกนมากทสดได 224 bytes) สวนของขอความเปนรปแบบเหมอนกน ใหรปแบบและขนาดทเหมอนกนและเปนการทำาตามโดยขอความเฉพาะทเกบในโปรแกรมพนฐานซงแสดงใหเหนทหวขอ 5.11 รวมกบ The Record Protocol Header

วธการแลกเปลยนสญญาณระหวางคอมพวเตอรสองเครองทเชอมโยงกนเปนการทำางานแบบ End to End ขอความเปนการแลกเปลยนระหวาง TCP TSL ผทรบบรการและเครองบรการขาม network พนฐานของการเปลยนขอความคอรเรมโดยผทรบบรการสง Client Hello ดจากหวขอท 5.12 การแสดงของ Client Hello เปนความตองการทจะ

สรางการรกษาความปลอดภยบน TCP Connection การกำาหนดทของ ID และรายการการรกษาความปลอดภยและขนตอนการอดแนนของสนบสนผรบบรการและการนำาไปใช

การตอบรบของเครองบรการกบชดของขอความซงรายการของเครองบรการของตวแปรเสรมการรกษาความปลอดภย เครองบรการ Hello เปนขอมลความรของ Client Hello และการกวนขนของการรกษาความปลอดภยและขนตอนการอดแนนใหเหลอเพยงหนงเดยว การออกใบรบรองและการเปลยนแปลงการปอนขอมลเครองบรการเปนทางเลอกและเปนการสงขอมลการรกษาความปลอดภย ถามการเรยกรองแบบเดยวกนเครองบรการอาจจะเลอกการสงออกใบรบรองตามคำาเรยกรองถาตองการผรบบรการทำาตามแบบเดยวกนน เครองบรการแสดงใหเหนวาเปนการจดลำาดบของขอความทสมบรณโดยการสงเครองบรการสำาเรจจาก Hello

ในขณะนผทรบบรการลงมอทำาการจดลำาดบของขอความใหผานการออกใบรบรองจากเครองบรการเปนทางเลอกอยางหนงขนอยกบเครองบรการสงการเรยกรอง ขอความการออกใบรบรองแสดงวาผรบบรการขานรบการเรยกรองการออกใบรบรอง การเปลยนแปลงการปอนขอมลของผรบบรการเปนการแสดงใหเหนในรปแบบจากการเปลยนแปลงการปอนขอมลเครองบรการและการรายงานของผรบบรการของตวแปรเสรมการรกษาความปลอดภยซงการตอบรบผรบบรการนนซงออกใบรบรองโดยเครองบรการเปนการไดรบโดยการสงของความยนยน ในขณะน Protocol มความตองการเปลยนจากการเปลยนแปลงโดยไมเขยนเปนรหสเปนการเขารหสรบ

มนตองการทำาแบบนโดยการสงขอความกระตนซงผรบบรการรวานคอการเขารหสรบโดยการสงขอความ Change Cipher Spec แต Change Cipher Spec ไมไดอยในสวนของ Handshake Protocol มนอยในสวนของ TSL Record Protocol เมอ Handshake Protocol ไมไดใชนตอการอนญาตในการมน อยางเชน เมอขอมลการเขารหสลบเปนรปแบบภายนอกหรอการเปลยนแปลงจากทางใดทางหนง หนงจากการความสามารถใชรหส

The Ball คอการตอบกลบของเครองบรการ ทงหมดคอสวนทเหลอจากเครองบรการทำาเปนการใชรหสของผการเขารหสสำาหรบสงขอความบนการเชอมตอ มนไดดวยการสง Change Cipher Spec โดยขอความทสำาเรจ

ลำาดบของขอความแสดงทหวขอ 5.12 อาจจะเปนกลบสทเดมระหวางความแขงแรงของการรกษาความปลอดภย TCP Connection ใหแกการไมเจรจาตวแปรเสรมการรกษาความปลอดภย นอาจจะเปนสงพงปรารถนาถาการจดการขนสงบนการตดตอทนใดทถงจดหมายเมอมการรกษาความปลอดภยเปนทตองการหรอถาการเชอมตอไดมการเปดสำาหรบโครงแบบแหงเวลาเหมอนกบผรบบรการและเครองบรการทเชอถอในเวลาการเปลยนแปลงของการปอนขอมล ในสถานการณนผรบบรการอาจจะสง Client Hello ใหมไมทำาการเรมตนใหมแกการเปลยนแปลงหรอเครองบรการอาจจะสง การเรยกรองของ Hello ใหแกผรบบรการถง Client Hello เอง

หวขอท 5.13 แสดงถง TLS Handshake Protocol ทมการแปรผนเปน C ใหแกรปแบบ bytes หลาย ๆ ขอมลการจดเกบขอมลพนฐานเปนการระบของความสามารถหรอรปแบบหรอความสามารถการเขารหสหรอรายการของคานยมสามารถคนดใน RFC 2246 การออกใบรบรองและการแบงแยกรายชอของผทไดรบอนญาตการรบรองใหเปนหลกฐานไดรบจาก ISO’s X 509 Directory Standard Key , การปอนขอมลตาง ๆ , และลายมอชอจะขนอยกบขนตอนวธการเขารหสและการเลอก

การเปลยนแปลงขอความเปนหนาทและประกอบดวย The Change Cipher Spec มอยใน open ซงการสนสดของขอความนนทำาไดโดยการแสดงออกจากขนตอนการเขยนโปรแกรมใหจานบนทกเกบขอมลรบรองบนการประกอบเขากบ byte โดยนำาแสดงออกโดยการเชอมตอกนและกนเหมอนกบสารและการเรมตนการเปลยนแปลงขอมลการรกษาความปลอดภย 12 byte ของการรบรองขอมลในการเสรจสนของสารเปนผลลพธของ PRF โดยการกำาหนดใน RFC 2246 การรบเขาของ PRF มดงตอไปน

- การควบคมความลบ ( 48 byte เปนสวนรวมของการปอนขอมลความลบระหวางการสนสดของจดนน ๆ )

- การเสรจสนของหวเรอง ( ขอความของสายอกขระ การเสรจสนของผรบบรการหรอการเสรจสนของตวบรการ )

- ผลลพธของทแตกตางของขนตอนการเขยนโปรแกรมใหจานบนทกเกบขอมลนนถกใชในการเชอมตอกนของ Handshake Protocol ทงหมดของสารทสงออกโดยเครองคอมพวเตอรในเครอขายนบนการจดเตรยมนใหแกจดนในเวลานน

ขนตอนการเขยนโปรแกรมใหจานบนทกเกบขอมลทงสองนนถกใชโดย MD5 และ SHA-1

5.5.2 Alert MessagesTLS เตรยมพรอมสารมการแบงแยกออกเปนการจดการสองสวน

และการขนสง 2 byte ของขอมลของคาของความผดพลาด สำาหรบ byte แรกนนแสดงใหเหนวามคาของความผดพลาดอยางรนแรง ( ความหมายแรกหมายถงการเตอน ความหมายทสองหมายถง เปนอนตราย ) และ byte ทสองนนแสดงใหเหนถงลกษณะเฉพาะของคาของความผดพลาดใชเปนคาสำาหรบตารางท 5.2 เมอคาของความผดพลาดถกพบบนการเชอมตอ TLS , เครองคอมพวเตอรในเครอขายเหมอนกนมปญหาในการสงการเตอนใหระวงของสาร นอาจจะเปนผลตอบของสารซงอาจจะเปนแบบของการปฏบตการแลกเปลยนสญญาณระหวางคอมพวเตอรสองเครองทเชอมโยงกนหรออาจจะเปนรายงานของคาของความผดพลาดกบขอมลการเปลยนแปลงบนการเชอมตอ เมอการเตอนของสารวาเปนอนตรายเปนการสงหรอการรบทงสองแบบใหทำาการปดการเชอมตอทนทโดยไมมการสงสารใด ๆ และเปนการเรยกรองใหลมเกยวกบการปอนขอมลทกอยางและความลบของสมาคมกบการเชอมตอ

เชอมตอ เมอการเตอนของสารวาเปนอนตรายเปนการสงหรอการรบทงสองแบบใหทำาการปดการเชอมตอทนทโดยไมมการสงสารใด ๆ และเปนการเรยกรองใหลมเกยวกบการปอนขอมลทกอยางและความลบของสมาคมกบการเชอมตอ

5.6 Securing The Hypertext Transfer Protocol

ความปลอดภยใน Hypertext Transfer Protocol (HTTP) เปนสงสำาคญทสงขนในการรกษาความปลอดภยใน ineternet ซงเปนสงทเปนไปไดอยางมากในปจจบนในพนฐานของเวบของการตดตอของสงทแวดลอมดวยความปลอดภย นอกเหนอจากผลลพธของการรกษาความปลอดภยใน world wide web ทไมนาเปนไปไดแลว ineternet จะมสงทกลายเปนนอกเหนอจากขอมลพนฐานทใหญโตและ online shopping เหมอนกบเปนทพวกเราไมเคยไดรบรมากอน

สองกลยทธไดมการแผออกเปนหนงทเราเรยกวา Secure Transfer Protocol (S-HTTP) และการเสนอการเรยงนามสกลใหแก HTTP สองเราเรยกวา HTTPS ซงนำาไปสการตดตอกนขนพนฐานของการสอสาร HTTP นอกเหนอจาก TCP ทใชใน SSI

S-HTTP คอการอธบายใน RFC 2660 และเปนการเรยงนามสกลใหแก HTTP แบบแผนใหมของ HTTP คอระเบยบแบบแผนการรกษาความปลอดภยยอมใหผรบบรการนำาเขาไปเปลยนการเขารหสและการปอนขอมลดงนนหลงจากสารขอมลอาจจะเขยนรหสหรอเขาโดยเชงตวเลข RFC 2617 เสนอใหเครองทบรการผรบบรการทำาการรบรอง function ผานเขาไปเพมในทเกบขอมลเฉพามนโปรแกรมสำาหรบแบบแผนขนพนฐานของ HTTP

S-HTTP ถกใชนอยกวา HTTP เพราะวาสารหวเรองของ HTTP นำาออกแสดงไดไมถกระงบเหมอน S-HTTP การสอสารทสมบรณใน HTTP คอการรวมกนกบ SSL และคอการเขยนรหสอยางสมบรณดวย

สำาหรบการจดการ HTTP URLs เปนการเตมคำาเขาไปขางหนาหลงจาก https:// และชองทางท 443 เปนการใชในพนทของขนตอนพนฐานของ HTTP ชองทางท 80

เมอผใชเรมตนการเขาถงขอมลการรกษาความปลอดภยของ web site จะใช HTTP เสมอ ๆ ในชองของตวรบเพอทจะยอมรบออกใบรบรองสงไปยงผทบรการ web นคอการชแนะการเขาใกลการทำาใหเกดผลผกมดระหวาง HTTP engine และเกณฑวธการทำาใหเกดผลจากการเรยงทบซอนกนของ SSL

การสอสารการรกษาความปลอดภยของ HTTP ยอมใหผใชสามารถสราง web site ทเปนสวนตวเลก ๆ อกทงบรษทสามารถจดตง web site ทเปนฐานเขาถงขอมลเพอทหนวยทหลากหลายทงการเขาถงระบบ e-mail นกลายเปนการพฒนาซงหลาย ๆ บรษทเสนอทางเลอกใหแกลกคาไดเขาถงความเคลอนไหวของบรษทซงจดใหมขอมลเฉพาะของลกคาไดเลอกเปลยนระหวางผคาและลกคา

5.7 Hashing And Encryption : Algorithms And Key

การรบรองการเขารหสลบของการเขยนโปรแกรมใหจานบนทกขอมลเปนการใชการปฏบตการรบรองขนพนฐานทแผหลายอยางมากและ

สำาหรบการรกษาความปลอดภยอยางสงของการเขารหสลบของขอมล การรบรองอน ๆ นนเหมอนกบการปอนขอมลบนขอมลของผรบและการเปรยบเทยบของผลลพธของรหสการรบรองในการสงผานหนงครงของขอมล การรบรองการเขารหสลบใชกบการปอนขอมลเพอทจะแปรผนขอมลจากลำาดบของการแสดงตวอาจจะหมายถง bytes ซงผรบตองไมแยงหากอนทสามารถจะนำาใชได ขอมลอาจจะใชขนตอนการจบเปนคและผทรวมการปอนขอมลทมลกษณะเชนเดยวกนเพอทจะใชในการเขารหสหรอขนตอนทเหมอนกนและการปอนขอมลทอาจจะเหมอนกนในการใชขนอยกบคนทมสามารถในการเขารหส

พนฐานของขนตอนการเขยนโปรแกรมใหจานบนทกขอมลเปน CRC CRC คอการใช IP ทใชไดซงขอมลอาจจะไมตองทำาการเปลยนแปลงอยางเชนโดยคาของความผดพลาดระหวางการสงผานการประมวลผลมนมประโยชนสำาหรบจดมงหมายหรออาจเปนการจบไดของสดสวนทสงของความอนตรายของคาของความผดพลาดแตมนเปนสงแทจรงทใชกบในขนตอนการรบรองตงแตพวกเรารดจากการปฏบตสำาหรบการดดแปลงคาของ CRC สำาหรบการเปลยนแปลงทำาใหแกขอมล สงทพวผนกนของขนตอนการเขยนโปรแกรมใหจานบนทกขอมลคอการการรบรองขอมลในการเชอมตอระหวางการปอนขอมลการรกษาความปลอดภย

ขนตอนการเขารหสดแลเพอทมากจากสงทพวผนและกลายเปนการปอนรหสทยาว ขนตอนพนฐานจองการเขารหสคอ DES อธบายในหวขอท 5.7.2 แตมการแกไขอยางมากทมความสามารถเกอบเทาการพฒนา มทงสองสามารถในการปอนขอมลทใชในวทยาการการเขารหสลบ ความลบของการปอนขอมลกลายเปนการอธบายและสามารถโดยผทสงและผทรบทงครเกยวกบการปอนขอมลดงนนพวกเขาสามารถประสบความสำาเรจไดจากการเปลยนแปลงขอมล

นคอการปฏบตการแตเหมอนการอธบายการเรยกรองจากการเปลยนแปลงการปอนขอมลกบจดสนสด นคอสงทไมมนคงเพราะวาบาง

คนอาจจะสกดกนการเปลยนแปลงการปอนขอมลแตมนเปนอสระทนาไววางใจของทงสองทงผรบและผสง

ผลลพธของปญหานคอการทำาการปอนขอมลทเปนสาธารณะ การปอนขอมลสาธารณะเปนวทยาการหนงในขนตอนแตถกใชทงสองขนตอนหนงการเขยนรหสของขอมลและการเขยนรหสจากอน ๆ หนงในการเขยนรหสนนเปนอสระแตทอน ๆ เปนความลบอยางเชนเครองคอมพวเตอรในเครอขายหวงวาความลบของขอมลจากผรบอาจจะเปนการแจงการปอนขอมลการเขารหสลบแตกอาจจะเปนการเกบขอมลการปอนขอมลการถอดรหสลบ การดแลเครองคอมพวเตอรในเครอขายควรจะใชแจงการปอนขอมลการเขารหสลบใหแกขอมลการเขารหสและอาจจะสงมนไปยงผรบทมนควรจะเปนการใชการถอดรหสความลบของการปอนขอมล เครองคอมพวเตอรในเครอขายหวงใหการปรบปรงจะเหมอนกบแจงการปอนขอมลถอดรหสสาธารณะแตการเกบขอมลการปอนเขารหสลบ ในแบบนทกคนสามารถถอดรหสลบขากลายชอและรเกยวกบความลบของเจาของของการปอนขอมลการเขารหสสามารถสงมาเปนสาร ความชำานาญนสามารถเปนสวนปะกอบเกยวกบหนงสออธบายวชาการเพอการรบรองการปอนขอมลสาธารณะ

ขนตอนใชในการปอนขอมลสองอยางคอความพวพนกนและความเชองชาแกการจดการตงแตทพวกเขาเรยกรองจากสวน bytes ของขอมลใหเปนการเลอกสรรหลาย ๆ เวลา การทำาแบบนนนไกลจากความคดทสำาหรบการใชการสงผานขอมลขนาดใหญ แตผลลพธนนกยงคงอยในเวลาน ขนตอนความลบของการปอนขอมลเปนการเขารหสของขอมลและความลบของการปอนขอมลของมนในการเขยนรหสทใชในขนตอนการปอนรหสในทสาธารณะ การปอนความลบของขอมลการเขยนรหสตองการแตเพยงการเปลยนแปลงสำาหรบรายการเปลยนแปลงอน ๆ และสามารถใชเปนการถอดรหสของขอมลอน ๆ ดวย

5.7.1 Message Digest Five MD5

ขนตอนการรบรองการเขยนโปรแกรมใหจานบนทกขอมลแบบเรยบงายทใชอยางมากมายคอ MD5 ขนตอนอธบายในหวขอท RFC 1321 RFC 1828 อธบายถงขนตอนการทำาการรบรองไดอยางไร สงทสนบสนนสำาหรบขนตอนนคอผทไดรบมอบหมายในสวน protocol อยางเชน RSVP และตองเปนสงทสนบสนนเหมอนกบการเรยกรองของ IPsee MD5 นำามาแสดงรหสการรบรองท 16 bytes จากขอมลทแบงออกเปนสวน ๆ หรอการปราศจากสวนของการปอนรหส นอกเหนอจากการปอนรหสแลว MD5 ยงเปนคลายกบ CRC เพอการหาการเปนอนตรายของการเปลยนแปลงในขอมล มนยงสามารถเปนประโยชนตอความเปนสวนตวของสาร , โครงสรางของขอมล , หรอการใชในการปอนขอมลเพอททำามนใหเปนไปไมไดเพอทจะกำาหนดความถกตองของ MD5 ของการรบรองรหสของการดดแปลง

หวขอท 5.14 แสดงใหเหนวารหสบางอยางเพอทจะสงเสรมขนตอนการรบรอง MD5 โดยทางทแสดงออกซงขนตอนการรบรองแบบงาย ๆ ทเปนสาระ แกนสารของขนตอนคอ RSA date security ขนตอนการอธบายสารเปนการทำาซำาจาก RFC 1321 ในรหส ความสามารถระดบสงของ MD5 เรยกวา date buffer และการปอนขอมล ความสามารถของการประมวลผลตามสายอกขระนนมการปอนขอมลใหเตมทจนถง 64 bytes , the date buffer , การปอนขอมลและการบรรจใหเตมท สวนสายอกขระทผานไปนนผาขอมลในท 64 bytes และผานไปไดและกลายเปนการประมวลผลทผานตามขนตอน

MD5 กลายเปนสงทคนพบเพอใหการรกษาความปลอดภยพบขอบกพรองและการทำางานทดำาเนนไปเรอย ๆ เพอสการพฒนาและความสามารถมากมายของการรกษาความปลอดภย

ความสามารถของการประมวลผลตามสายอกขระนนมการปอนขอมลใหเตมทจนถง 64 bytes , the date buffer , การปอนขอมลและการบรรจใหเตมท สวนสายอกขระทผานไปนนผาขอมลในท 64 bytes และผานไปไดและกลายเปนการประมวลผลทผานตามขนตอน

MD5 กลายเปนสงทคนพบเพอใหการรกษาความปลอดภยพบขอบกพรองและการทำางานทดำาเนนไปเรอย ๆ เพอสการพฒนาและความสามารถมากมายของการรกษาความปลอดภย

5.7.2 Date Encryption Standard (DES)DES คอขนตอนพนฐานของคำาสงการเขารหสโดย IPsee มน

เปนมาตรฐานโดยอเมรกา DES คอการรวมกนปรบปรงขนตอนการคำานวณสำาหรบการเขารหสลบและการถอดรหสลบของขอมลรหสฐานทสอง

DES ใชอยางนอย 64 bytes ในการปอนขอมลซง 56 bytes นนเปนการกำาหนดทวางของการปอนขอมลดวยตวมนเองและใน 8 bytes ใชสำาหรบการจดเกบคาของความผดพลาดทจบไดบนการปอนขอมล

สวธของการจดการ DES คอการกำาหนด , สวนของการจดเตรยมเพมขนจากความพวพนและการรกษาความปลอดภยทดทสด วธ ECB เปนวธทตรงของขนตอน DES เพอทจะเขยนรหสและถอดรหสขอมล ไดมาจากชอจากทางแหงความลบของสารถกใชเปนการเขยนรหสและการถอดรหสโดยการใชหนงสอของรหส วธ CBC เปนการสงเสรมของ ECB ซงทงสองจะถกระงบของ Cipher Text เพอทจะเพมขนของขนาดและความพวพนของการเขารหสขอมล วธ CFB ใชกบการใหกำาเนด Cipher Text ดวยกนกบสารใหเปนการเขารหสเหมอนกบการเขาไปในขนตอน DES วธ OFB เปนแบบเหมอนกบ CFB เวนแตผลลพธของ DES จะใชในการนำาเขาใน OFB

ขนตอน DES เปนความพอเพยงของความพวพนในการรบประกนทไมยอมใหจากหนงสอ สำาหรบเนอหาของการประมวลผลเกยวของกบ National Institute of Standard and Technology รายการของ web page อยทดานสดทายของบท

5.8 Exchange Keysสงรนใหมและสงทแยกออกไปของการปอนขอมลเปนมลฐานใน

ระบบการจดการของการรกษาความปลอดภย การปอนขอมลกลายเปนลกษณะคลายกบการสมตวอยางทใหกำาเนดอยทศนยกลางและการแยกออกใหแกการเขารหสลบและการถอดรหสลบใชดวยแบบแผนทไววางใจ นเปนการเสรมใหเขยนการปอนขอมลลงบนกระดาษซงเปนการสงใหกบเกยวกบคอมพวเตอร

คอมพวเตอรทำามนใหเปนไปไดจากความสำาเรจใหมจากความสามารถลกษณะการสมตวอยางในการปอนขอมลจากคนรนใหมและยงเปนการแบงแยกการปอนขอมลทเปนอสระดวยแตปญหาในการลงลายชอนนการปอนขอมลไมสามารถเปนการเขยนรหสเมอพวกเขาสงผาน

หวขอท 5.7 ขนตอนวทยาการเขารหสปอนขอมลยอมใหผรบบอกกบผสงการปอนรหสสาธารณะทใชเพอทจะเขารหสขอมลความลบในขณะทการบรรจการแบงแยกความลบของการปอนขอมลใหเขารหสขอมลได การปอนขอมลทเปนความลบคอการใชการถอดรหสสารซงไมเคยเปดเผยมากอน แบบแผนนสามารถเปนการเขารหสของการปอนรหสอน ๆ เพอทจะตองการใหเปนการเปลยนแปลงขามเครอขายสาธารณะ

การเปลยนแปลงการปอนขอมลเปนสงทสำาคญในการรกษาความปลอดภยในอนเตอรเนตและเปนหวเรองของสวนของ protocol protocol นเปนการยอมใหการเขารหสและการถอดรหสเขารวมการเจรจาในขณะทขนตอนและลกษณะสำาคญจะใชในสมาคมการรกษาความปลอดภย

IKE อธบายใน RFC 2409 เปนการรวมกนของสอง protocol ผอานควรจะหวงวาทำาไม protocol ถงตองรวมกนโดยจำานวนตำาของ RFC มากกวาหนงสวนประกอบ

5.8.1 Internet Key Exchange ISAKMP จดใหเปนทจำาเปนในการเจรจาสงอำานวยความสะดวกใน

การตกลงบนระดบของการเรยกรองการรกษาความปลอดภยและขนตอนในการใชงาน มนยอมใหจดจบการสนสดใหมการเปลยนแปลงการปอนขอมลในการรกษาความปลอดภย มนเปนสงทสำาคญในการจดจำาซง protocol รวบรวมการรบรองของจดทสนสดดงนนเครองคอมพวเตอรในเครอขายอาจจะรสำาหรบผทแนใจในการพดอยางถกตองในระยะไกลของเครองคอมพวเตอรในเครอขาย งานแรกของ ISAKMP คอการสรางระหวาง SA และจดสนสด นเปนสามารถทนำาออกมาจาก ISAKMP และการเรยกรองการเปลยนแปลงสารนอกเหนอจาก TCP หรอ UPD ใชชองทางท 500 เพอแสดงใหเหนเกยวกบ SA , การเจรจากบความสามารถ , การเปลยนแปลงการปอนรหสสาธารณะและการเปลยนแปลงการขอมลการออกใบรบรอง ในสวนนไมสามารถอธบายถง Transport Layer Security Handshake Protocol ในหวขอท 5.5.1 แมวาสารแตกตางกนกตาม สวนของการเรมตน ISAKMP กบหวขอสารเดยวกน สวนของตวของสารนนเปนการสรางขนมาของลำาดบทสามารถ payload ได สวนแรกของการ payload นนคอการแสดงออกในหวขอเดยวกนและสวน payload ทเปดเผยนนเปนสวนของผลลพธของการ payload ถาหนงในนนยงคงอย รปแบบของการ payload ขนอยกบสวนตาง ๆ หวขอท 5.15 แสดงใหเหน

ISAMP หวขอเดยวกนกบสอง payload ผนำาและผรบไดรบ cookie เหมอนกบ SA ทจดสนสด การกำาหนด protocol version โดย RFC 2408 เปน 1.1 ID ของสารเปนการลกษณะสมเลอกโดยใหกำาเนดตวเลขโดยผทสงสารการเรยกรองและการเลยนในการตอบรบยอมใหเกยวพนกนกบสมาชกทเปนอนตรายของการปะทะกน สวนของสารคอการใหทใน bytes และการดแลทงหมดของสารรวมทงหวขอเรองดวย การเปลยนแปลงแบบแสดงออกใน ISAMP ของการจดการและบงคบในขณะท payload กำาลงตองการเรยกรอง เปนไปไดวาคาสำาหรบทใชเกบขอมลเฉพาะในโปรแกรมนจะแสดงใหเหนในตารางท 5.3 มสามแถวดงตอไปน

A-เฉพาะการรบรอง หมายถง payload ของสารควรจะเปนหวขอทใหการรบรองแตไมมการเขารหสลบ

C-การกระทำา หมายถง การแสดงความตองการในการทำาการเปลยนแปลงสารใหสมบรณกอนทจะบรรจสารไปทการใชงาน

E-การเขยนรหสลบ หมายถง การแสดงออกถง payload เปนการเขยนรหสลบทใชในการเหนดวยกบขนตอนการเขารหสลบ

Payload แรกทใชเกบขอมลเฉพาะในโปรแกรมของ หวเรอง ISAMP แสดงออกวาแบบของ payload แรกเปนสวนทอยตวของสาร สวน payload อน ๆ ยงคงบรรจอยถดจาก payload ทใชเกบขอมลเฉพาะในโปรแกรมเพอแสดงใหเหนวาแบบของ payload อยถดไป แบบทงหลายเปนรายการในตารางท 5.4 สวน payload อน ๆ รวบรวมอยในสวนยาวของทใชเกบขอมลเฉพาะในโปรแกรมซงแสดงออกของสวนทยาวของ payload ใน bytes รวมไปถงสงทอยถดจาก payload และสวนยาวของทใชเกบขอมลเฉพาะในโปรแกรม

การเปลยนแปลงแบบรายการในตารางท 5.4 บงคบวาการเปลยนแปลงของขอมลจดสนสดของ ISAMP เปนอยางไรในขณะทสวนท payload ทงหมดกำาลงสงในสาร สงทแตกตางคอในสวนทเปนจดเชอมไดอยางไรและการปองกนทวางเพอใหขอมลสงผานนนมเทาไร ในสวนทพนฐานการแลกกนระหวางการสงสารไปพรอมกบการไมปองกนขอมลใด ๆ กบการสงสารมาก ๆ ในขณะทขอมลในสารนนจะมการปองกนโดยการเจรจาการรกษาความปลอดภยโดยกอนสารจะสง ใน หวขอท 5.16 เปนตวอยางการเปลยนแปลงสารเมอ SA เปนคนสรางถกใชโดยการเปลยนแปลงทเปนพนฐาน ในกาวแรกนนผนำาไดสงความตองการไปยงสมาคมการรกษาความปลอดภย , เสนอและเปลยนรป payload ใหเปนการแสดงซงมนตองการสรางสมาคมการรกษาความปลอดภยและใหเพอโฆษณาแบบของการรกษาความปลอดภยมนตองการทจะสมครและขน

ตอนของการสนบสนน มนยงรวมไปถง Nonce payload แกการสมเดาของสาร ผรบตรวจตรา Nonce อนใหมและถามนอาจจะเปนกรากอตงสมาคมการรกษาความปลอดภย , การตอบรบความถกตอของกลมยอยของความสามารถในการรกษาความปลอดภยและขนตอนทอาจจะเปนการสมคร ( ขนทสอง ) ผนำานนใหกำาเนดการปอนขอมลและการสงของทงหมดกบขอพสจนของแบบเดยวกน ( ขนทสาม ) และผรบทำาการเปลยนแปลงใหสมบรณกบการปอนขอมลและการพสจนวาอะไรถก SA เปนการกอตงและขอมลทสงสามารถเรมตนใหมได หลกฐานนนเปนแบบเดยวกนและการปอนขอมลเปนการสงทหมอนกบสารนนเอง หลกฐานไมสามารถเปนการปองกนได การเปลยนแปลงการปองกนหลกฐานไดมการจดเตรยมการปองกนสำาหรบการเปลยนแปลงของหลกฐาน นเปนความสำาเรจโดยการแนะนำาเบองตนในการเปลยนแปลงสารและใช payload รวมกนแสดงใหเหนในหวขอท 5.17 Nonce เปนการเคลอนทจากการเปลยนแปลงในตอนแรก ( ขนทหนงและสอง ) เพอทจะเปลยนแปลงใหม ( ขนทสามและส ) เหมอนกบการเปลยนการปอนขอมล

หนงในการปอนขอมลทำาใหเราทราบวาทงหมดสามารถใชใหเปนประโยชนไดทก ๆ ผลลพธและหลกฐานการเปลยนแปลง ( ขนทหาและหก ) สามารถเปนการปองกนโดยขนตอนการรบรองและการสงพรอมดวย Hash payload การรกรานทเปลยนแปลงควรจะตดออกไปจากหมายเลขของสารทสงไปทเปดเผยซงหวขอเรองนจะแสดงท 5.18 ในเหตการณแบบนผนำาสรปกบขอเสนอและการสงตอของความสามารถซงผรบไมมตวเลอกอน ๆ นอกจากการรบหรอปฏเสธ ผนำาสามารถใหกำาเนดการปอนขอมลตวอกษรขนและสงไปยงสารของผนำาเองพรอมดวยหลกฐาน ( ขนทหนง ) ผรบจะตอบกบทก ๆ ขอความในการสงหนงครง ( ขนทสอง ) ใหผนำาออกใบรบรองเปนหลกฐานและบางทกใชในขนตอนการรบรองเพอทจะปองกนเปนขนตอนสดทาย

nonce \'n ไ n(t)s\ n [ ME nanes, alter. (fr. incorrect division of then anes in such

phrases as to then anes for the one purpose) of anes one purpose, irreg. fr. an one,

fr. OE an]: the one, particular, or present occasion, purpose, or use < for the ~ >.

FURTHER READINGPersonal Encryption Clearly Explained, by Pete

Loshin (1998). IP Professional. This bookprovides a comprehensive introduction to the use

of security in the Internet and othernetworks.Virtual Private Networks—Making the Right

Connection, by Dennis Fowler (1999). MorganKaufmann. Fowler describes the use of IPsec to

provide secure connections between privatenetworks. It also provides a good introduction to

user authentication and to key managementand exchange.Applied Cryptography: Protocols, Algorithms, and

Source Code in C, by Bruce Schneier (1995).John Wiley & Sons. This is a good starting point for

those who want to dig deeper into theway that encryption is made to work.147The following lists show specifi c RFCs and other

standards broken down by topic.Security ConsiderationsRFC 1281—Guidelines for the Secure Operation of

the InternetRFC 2411—IP Security—Document RoadmapRFC 2828—Internet Security GlossaryIPsecRFC 2401—Security Architecture for the Internet

ProtocolRFC 2402—IP Authentication HeaderRFC 2406—IP Encapsulating Security Payload (ESP)RFC 3457—Requirements for IPsec Remote Access

ScenariosOther Security Protocols1. RFC 2246—The TLS Protocol Version 1.02. RFC 2617—HTTP Authentication: Basic and

Digest Access Authentication

3. RFC 2660—The Secure HyperText Transfer Protocol

4. RFC 2818—HTTP Over TLSAlgorithmsData Encryption Standard:[FIPS-46-2], from the

U.S. National Bureau of Standards,http://www.itl.nist.gov/div897/pubs/fi p46-2.htm1. RFC 1321—The MD5 Message-Digest Algorithm2. RFC 1828—IP Authentication Using Keyed MD53. RFC 2405—The ESP DES-CBC Cipher Algorithm

with Explicit IVKey ExchangeSKEME: A Versatile Secure Key Exchange

Mechanism for Internet, by HugoKrawcyzk. ISOC Secure Networks and Distributed

Systems Symposium, San Diego,1996.1. RFC 2408—Intemet Security Association and

Key Management Protocol(ISAKMP)2. RFC 2409—The Internet Key Exchange (IKE)3. RFC 2412—The OAKLEY Key Determination

ProtocolFurther ReadingThis page intentionally left blank

บทท 6

ขออางทวามความปลอดภยถกทอดทง IPv4 โดยกอตงจะขนอยกบอารกวเมนตทตน IPv4 เครอขายถกสนคลอนสงดทไววางใจกน ไปๆมาๆระหวางซอๆแตเกยรต academicians อยางไรกตามมากทเรมตน อนเทอรเนตโปรโตคอลถกกำาหนดเปนสหรฐอเมรกากรมกลาโหม (DoD) มาตรฐานและความปลอดภยเปนอยางแนนอนทพจารณา อยางไรกตาม IETF ทมให เปนชนเปนอนเพมเตมชดเจนสนใจ IPv6 การรกษาความปลอดภยกวาเดมคอ accorded เพอ IPv4 ในชวงตนของการพฒนา ทถกใจและอรรถประโยชนของการตรวจสอบและคณสมบตการรกษาความปลอดภยท IP ท

เลเยอรได debated สำาหรบป บทนกบวธการตรวจสอบ และความปลอดภยรวมทงรหสผานทปลอดภยสงเขารหสและลายเซนดจตอลใน datagrams จะดำาเนนการภายใต IP ทผานการตรวจสอบ สวนหว (พงรเถด) และ Encapsulating การรกษาความปลอดภย Payload (ESP) ตวเลอก กอนท examinng ไอพโปรโตคอลการรกษาความปลอดภย (IPsec) อยางไรกตามเราจะเฝามองท IP ทอธบายไวในการรกษาความปลอดภยสถาปตยกรรม RFC 2401, "สถาปตยกรรมความปลอดภยสำาหรบ Internet Protocal "และอนชนทสถาปตยกรรม IPv4 เปนครงแรกทออกแบบมาใหบรการไมจรงคณสมบตการรกษาความปลอดภย; เปนเจตนา เพยงเปนโปรโตคอล internetworking ขณะทไมจำาเปนตองปญหาสำาหรบโปรโตคอลเครอขายทใชโดยทวไปในการวจย และการศกษาการตงคาทเพมขนใน IP ทสำาคญของเครอขายเพอทวไปธรกจและผบรโภคเครอขาย สภาพแวดลอมททำาใหศกยภาพอนตรายทเกดจากการโจมตเพมเตมซงลางผลาญ กวาทเคย สวนนตรวจสอบตอไปน■ ปญหาของการรกษาความปลอดภยสำาหรบ IP ท ■ ความปลอดภยเปาหมายทกำาหนดสำาหรบ IP ท ■ Cryptographic องคประกอบของ IPsec ■ Protocal องคประกอบของ IPsec ■ ดำาเนน IPsec สวนถดไปใชเวลาดทเฉพาะของ IPsec เปนบางสวนเครองมอ การชมนมทจะบรรลเปาหมายเหลาน

IPsec ตามทระบไวใน RFC 2401 ใหสถาปตยกรรมความปลอดภยสำาหรบ Internet Protocal-ไมใชสถาปตยกรรมความปลอดภยสำาหรบ Internet การแบงแยกเปนสงทสำาคญ: IPsec กำาหนดบรการรกษาความปลอดภยทจะใชท IP ทเลเยอรทงสำาหรบ IPv4 และ IPv6 การ เปนมกจะกลาววา IPv6 การเปน "เพมเตมปลอดภย" กวา IPv4 แตทแตกตางคอ IPsec เปนสงจำาเปนสำาหรบทก IPv6 การทเปนตวเลอกสำาหรบ IPv4 nodes การรกษาความปลอดภยของ IP ทProtocal (IPsec) ให interoperable และเปดมาตรฐาน สำาหรบการสรางความปลอดภยเขาเลเยอรเครอขายแทนทจะทแอปพลเคชนหรอ ขนสงเลเยอร แมวาแอปพลเคชนจะไดประโยชนจากเครอขายเลเยอรความปลอดภยมากทสด ชวยใหแอปพลเคชน IPsec สำาคญคอการสรางเครอขายเสมอนสวนตว (VPNs) สามารถปลอดภยแบกวสาหกจขอมลทวเปดอนเทอรเนต IPsec นนมกจะใชรวมกบอโมงคโปรโตคอลการจดการรวมถง Layer 2 Tunneling Protocal (L2TP), การสงตอท Layer 2 (L2F) ออกแบบโดยโปรโตคอล Cisco ระบบและ Microsoft ของจดเพอจด Tunneling Protocal (PPTP) RFC 2661, "Layer สอง Tunneling Protocal 'L2TP,'" กำาหนด L2TP เปนมาตรฐานตดตามขอกำาหนดสำาหรบ tunneling แพคเกตทสงผานการเชอมโยง PPPในขณะทการจดการอโมงคโปรโตคอลการรกษาความปลอดภยใหเขาถงบรการพวกเขา ไมใหการรบรองความเปนเจาของความเปนสวนตวหรอบรการจงมกจะใชรวมกบ IPsec-ซงจะใหบรรดาบรการ อยางไรกตามวา IPsec ระบโปรโตคอลการตรวจสอบและการเขารหสขอมลทสงภายใน IP ท แพคเกตเปน oversimplification และ obscures IPsec ของ

เตมศกยภาพ IPsec ตอไปนชวยให การเขารหสขอมลผานสอง nodes ใชทแขงแกรงรฐและเอกชนคย Cryptographic algorithms ตรวจสอบความถกตองของขอมลและแหลงใชแขงแรงกลไกการตรวจสอบ ควบคมการเขาถงขอมลทสำาคญและเอกชนเครอขาย ซอสตย verifi ไอออนบวกขอมลดำาเนนการโดย connectionless โปรโตคอลล (IP) ปองกนการโจมตแขงใหมซงในผบกรก intercepts แพคเกต สงระหวางสอง IP ท nodes และ resends พวกเขาหลงจากท decrypting หรอแกไข พวกเขา ขอจำากดของการเขาชมการวเคราะหการโจมตซงในผบกรก intercepts ปองกนขอมลและการวเคราะหแหลงทมาและปลายทางขอมลขนาดและประเภท ของแพกเกจและดานอนๆของขอมลสวนหวรวมทงเนอหาท อาจไมไดรบการปกปองโดยการเขารหสสน สดเพอสนสดการรกษาความปลอดภยสำาหรบการแพคเกต IP ใหความเชอมนใหกบผใชของ endpoint nodes ของขอมลสวนบคคลและความสมบรณของการสง ปลอดภย tunneling ผานเครอขายสนคลอนเชนโลกอนเทอรเนตและ เครอขายสาธารณะอนๆรวบรวม algorithms, โปรโตคอลการรกษาความปลอดภยและโครงสรางพนฐานลงใน overarching สถาปตยกรรมความปลอดภย ในฐานะ defi ned ใน RFC 2401, "สถาปตยกรรมความปลอดภย

สำาหรบ Internet Protocal" ท เปาหมายของการรกษาความปลอดภยสถาปตยกรรม IP ทเปน "เพอความปลอดภยตางๆใหบรการสำาหรบปรมาณการเขาชมท IP ทเลเยอรในทง IPv4 และ IPv6 สภาพแวดลอม "ซงหมายความวาการรกษาความปลอดภย บรการทมคณลกษณะตอไปน Interoperable เชนเดยวกบอนเทอรเนตโปรโตคอลกนเปนพนฐาน เปาหมาย ซงหมายความวาใด IP ทโหนดสนบสนน IPsec สามารถสอสารกบใดๆ อนๆทสนบสนนโหนด IPsec มพนฐานชด Cryptographic algorithms สำาหรบ เขารหสและบรณภาพการตรวจสอบซงทงหมด IPsec nodes ตองสนบสนนแมวา แตละ nodes และ implementations อาจสนบสนนอนๆอกมากมาย, ตวเลอก algorithms แมวาบาง nodes ถกกำาหนดใหชอบใหมกวาหรอตำากวาเปด algorithms ทงหมด nodes จะตองสนบสนนขนพนฐานตว คณภาพสงCryptographically ตาม Cryptographers ทำางานกบ algorithms สำาหรบเขารหส, hashing ปลอดภยและการตรวจสอบ เขารหส algorithms ปกตใหขอมล เพอเปลยนไปยง cyphertext ขอมล scrambled เพอใหเฉพาะนตบคคลถอคยทเหมาะสมสามารถ decrypt มน ปลอดภย algorithms ทำางานในขนาดใดๆกได กอนขอมลเพอสรางความยาวคงท ลำาดบบต (ท) องคกรสามารถ ยนยนทนาเชอถอของขอมลโดยใช hashing กลไกทไดรบ ขอมลหากสงและคำานวณตกลง, ขอมลตามทมการยนยน

ทถกสงโดยเปลยน ขององคกรทผานการตรวจสอบการใช ลายเซนดจตอลจะขนอยกบคยสาธารณะ algorithms ขอมลเขารหสดวยคยสาธารณะของสาธารณะ / คยสวนตวคสามารถ decrypted เทานนโดยองคกรทมการเขาถง ทเอกชนคย; ฉนนนหากองคกร encrypts บางอยาง (เชนขอความ

ขอความ) ดวยเอกชนคยแลวทกคนทสามารถเขาถงคยสาธารณะสามารถ decrypt ขอความและยนยนวาผสงทมการเขาถงคย โดยในการอานรหส basing IPsec มากกวาทอนๆสำาหรบกลไก การรกษาความปลอดภยโปรโตคอลออกแบบสถานทจำากดการเปลยนแปลงการรกษาความปลอดภยทสดเพอบรรลเปาหมาย ผานการใชงานในขณะทในเวลาเดยวกนตรวจสอบวาเปาหมายเหลานนการรกษาความปลอดภยจะ ความผานการใชตรวจสอบความนาเชอถอและกลไก ไอพสถาปตยกรรมชวยใหระบบการรกษาความปลอดภยเพอเลอกทตองการความ ปลอดภยโปรโตคอลระบ Cryptographic algorithms เพอใชรวมกบบรรดาโปรโตคอลและแลกเปลยน คยใดหรอวสดอนๆหรอขอมลทจำาเปนในการใหบรการรกษาความปลอดภย ตามทอาจจะเหนสงทผานการรบรองจากคำาอธบายคยสาธารณะการอานรหสตามกลไกทตองการเขารวมจะสามารถมนใจวาคยสาธารณะจะออกเฉพาะกบองคกรทระบกบบรรดาคย เมอคยสาธารณะคอ เผยแพร purporting เพอแสดงไมโครซอฟทคอรปอเรชนทเปนไปไดท คยถกเหมาะสมออกไปยง Microsoft และไมใชกบคอมพวเตอรอาชญากรควร วธ 100% เทจจรง ขออภยทมการแสดงในเมอตนป 2001 รายงานวาเปนผนำาคยสาธารณะโครงสรางผขายอยาง Verisign,

Inc การออก สองคยสาธารณะใบรบรองการหลอกลวงอางสทธเพอแสดงไมโครซอฟทน ไมเสมอทสด ในฐานะทเปนเครอขายเลเยอรโปรโตคอล, IPsec ใหการรกษาความปลอดภยทเฉพาะเลเยอรเครอขาย ซงหมายความวาแพกเกจทสามารถปองกนจากจดทพวกเขาปอน IP ทเครอขาย (ทมาโหนดของ IP ทอนเตอรเฟส) เพอจดทพวกเขาออกไปจากเครอขายไอพ (ปลายทางโหนดของ IP ทอนเตอรเฟส) IPsec ไมสามารถแทนแอปพลเคชนทเหมาะสมหรอการขนสง-เลเยอรความปลอดภยกลไกการ IPsec และไมสามารถปองกน attackers สละควบคมของแหลงทมาหรอปลายทาง nodes หรอกระบวนการ

SECURITY GOALSรกษาความปลอดภยของคอมพวเตอรวาสามารถรวบรวมสามทวไปเปาหมาย การรบรองความสามารถในการไวใจไดกำาหนดขอมลทไดรบ เหมอนเดมและสงเพอตรวจสอบวานตบคคลทสงขอมลคอสงทจะเรยกรอง เปน ทประสบความสำาเรจหมายถงการตรวจสอบการปองกน attackers จากแอบอางรบอนญาตนตบคคล ความซอสตยความสามารถในการไวใจไดตรวจสอบขอมลทไมไดรบการแกไข ในระหวางการขนสงจากแหลงทมาของการปลายทาง สำาเรจการรกษาขอมล บรณภาพหมายถงการปองกนการโจมตจากการตรวจสอบการแกไขขอมลออกจากการตรวจสอบรวมทงการปองกนการยอมรบของขอมลทไดรบ

เสยหายหนงในเครอขายเมฆ (ตามทเกดขนเปนครงคราว) ลบความสามารถในการสงขอมลทสามารถใชหรออานโดยเฉพาะ ความตงใจและผรบไมโดยนตบคคลอนๆ สำาเรจการรกษาขอมลความลบหมายความปองกนทกคนอนๆโดยเจตนา ผรบ (รายการ) จากทสามารถเขาถงขอมลสวนตว พฒนาการในการอานรหสสมยใหมโดยเฉพาะในการใชคยสาธารณะการอานรหส (ในสวนถดไป) ใหชดคาผสมทเปนไปไดเหลาน สามเปาหมายในหนงชดฟงกชน การตรวจสอบเหลานเปาหมาย-, ซอสตยและเปนความลบ-ผานสามฟงกชนทเกยวของ ลายเซนดจตอล unequivocably ลงคทเจาของของเฉพาะลบกบ แสดงขอมลตามทมการลงนามโดยทนตบคคล ปลอดภย hashes แบบดจตอล "สรป" เปนลำาดบขอมลใชซงยำา กระบวนการผลตทจะเหมอนผลลพธเฉพาะในกรณทขอมลเปนลำาดบ ยนยนตรงกบขอมลลำาดบผลตโดยสงการเขารหสเปนกระบวนการของการดำาเนนการในแปลงกลบไดอานขอมลเพอทำาใหมนไมสามารถอานไดโดยทกคนอนๆนอกเหนอจากเจาของของ ทเหมาะสมถอดรหสคย บางสวนหรอทงหมดเหลานจะเปนไปไดในการทำางานหรอชดคาผสมแตละโปรโตคอ ลในทกชนของ TCP / IP ทกองขาวจากไอพ (ผาน IPsec) ไปทการขนสง เลเยอร (TLS ผานการคมนาคม Layer โปรโตคอลการรกษาความปลอดภย) เพอฟงกชนการรกษาความปลอดภย จดหาผานโปรแกรม เปาหมายของ IPsec คอการใหการรกษาความปลอดภยกลไกสำาหรบเวอรชนทงหมดของไอพ 1 IPsec ใหบรการรกษาความปลอดภยท IP ทชนและระบบอนๆทอาจ

ตองดำาเนนการโตตอบกบระบบทปลอดภยกบ IPsec และเฉพาะชดของการรกษาความปลอดภย algo - rithms และโปรโตคอล ในขณะทเอกสารทสนบสนน IPsec พนฐานชด algorithms, นอกจากนยงชวยให nodes เพอเจรจา acceptably ปลอดภยกบระบบอน ดวยตวเลอก algorithms IPsec ใหกรอบ nodes ภายในทสามารถ เจรจาเหมาะสม algorithms, โปรโตคอลคยระยะเวลาและเรองอนๆ

ความปลอดภยการสอสาร IPsec ชวยใหการซอมบำารงดงตอไปน การควบคมการเขาใช IPsec ทำาใหการรกษาความปลอดภยโปรโตคอลทจะควบคมการ invoked ปลอดภยแลกเปลยนคยใหตรวจสอบสทธของผใชสำาหรบการควบคมการเขาใช วตถประสงค บรณภาพ Connectionless IPsec ทำาให nodes เพอตรวจสอบแพคเกแตละ IP ทอสระของอนๆทหอ ไมมตองการใหยนยน sequences ของแพกเกจหรอแมแตทมการเขาถงอนๆโดยเปลยนแพกเกจเดยวกน nodes บรณภาพ Connectionless มการเปดใชงานผานการใชงานทปลอดภย hashing เทคนคคลายกบการใชตรวจสอบตวเลขแตดวยความนาเชอถอมากขนและนอย กวา โอกาสท tampering จากองคกรทไมไดรบอนญาต ขอมลตนทางรบรองความถกตองระบแหลงทมาของขอมลทอยใน

ทอย IP ทหออนการรกษาความปลอดภยบรการโดย IPsec ฟงกชนนคอ

คลองแคลวผานการใชลายเซนดจตอล กลาโหมอกหอแขงใหมโจมตในฐานะทเปน connectionless โปรโตคอล, IP ทเปน อยภายใตการคกคามการแขงใหมโจมตซงโจมตสงหอท ไดรบโดยปลายทางโฮสต แขงใหมโจมตสามารถเปนอนตรายตอ ระบบหองวางโดยคาดขนรบทรพยากรระบบ IPsec ให แพคเก countermechanism ทปกปองตอตานนแปรขบวน การเขารหสขอมลลบใหการเขาถงขอมลจากทกคนแต บรรดาผทอยกบการอนมตเหมาะสม-มใหผานการใชการเขารหส จำากดการเขาชมไหลเขารหสลบขอมลไมเพยงพอเสมอเพอปกปองระบบแคทราบท endpoints ของการเขารหสแลกเปลยนความถดงกลาวปฏสมพนธหรอขอมลอนๆเกยวกบ สามารถสงใหพจารณาโจมตทมขอมลเพยงพอ ทจะทำาลายหรอทำาลายระบบ IPsec ใหจำากดการเขาชมบางไหลผานลบการใช IP ท tunneling โดยเฉพาะอยางยงเมอคกบ การรกษาความปลอดภย gateways ทงหมดนจะเปนไปไดผานฟงกชนการใชงานของ Encapsulating การรกษาความปลอดภย Payload (ESP) สวนหวและสวนหวรบรอง (พงรเถด) การหยบ Cryptographic หนาทเปนทระบสำาหรบ IPsec และอธบายสนในครงถดไป สวน คยสาธารณะเขารหสใหกลไกสำาหรบประสทธภาพเกอบทงหมดเหลาน

ฟงกชนกบเดยวชดกระบวนการ พงรเถดใหกลไกเพอยน การตรวจสอบ IP ทเปน algorithms หบหอทให ESP กลไกสำาหรบ

ยนใดๆของ Cryptographic กลไกการ IP ทหอรวมทงการเขารหส, ดจตอลลายเซนและ / หรอมความปลอดภย hashes IPsec

เปนทมง eliminating บาง ประเภทของการโจมตรวมตอไปน ปฏเสธเซอรวส (DoS) โจมตเหลานเกดขนเมอมการใชเครอขายองคกร เพอปองกนการสงอยางถกตองตามกฎหมายผใชจากการใชทรพยากรเครอขาย สำาหรบ ตวอยางเชนผโจมตอาจทวมเปนโฮสตทมการรองขอและ TCP SYN นน ความผดพลาดระบบหรอโจมตอาจประกอบดวยซำาสงยาว ขอความอเมลกบเจตนาของลบของผใชหรอเวบไซตของแบนดวธ ดวยความรำาคาญจราจร หลอกลวงการโจมตเหลานเกดขนเมอองคกรสงแพคเกตทยกเมฆทแพกเกจ 'กำาเนด ตวอยางเชนหนงชนดหลอกลวงโจมตเกดขน เมอโจมตสงขอความอเมลดวยจาก: หวเรองระบ แหลงทมาของขเปนกลาวประธานาธบดของประเทศสหรฐอเมรกา มากกวา เคลอบแฝงและเกอบจะเปนเรองงายทจะวศวกรเหลาโจมตทเกดขนเมอ แพกเกจจะถกสงออกมทไมถกตองเปนแหลงทมาทอยในสวนหว มนษยในการ-กลางโจมต (MITMs) เหลานเกดขนเมอผโจมต (Alice) ตำาแหนงตวหลอนเองสองสอสารองคกร (เรยกรองพวกเขา Bob และ รองเพลงสดด) และสง intercepts ทงหมดของพวกเขา Alice poses ฐานะ Bob เมอสอสารกบบทเพลงสรรเสรญและรองเพลงสดดเมอสอสารกบ Bob Alice, เปนทำาใหสามารถสงขอมลใดๆทเธอตองการ Bob แทนสงท รองเพลงสดดตองการสงถง Bob MITM โจมตสมพทธงายเมอมการสงไมไดเขารหสหรอสทธอยางไรกตาม Alice สามารถสำาเรจ

โจมตแมมการปองกนขอมลสตรมหากเธอสามารถหรอเขาส รองเพลงสดดของลบคย (หรอออกชดของเธอเองสาธารณะ / คยลบค พอทคลายกบเพลงสดดของท Bob จะหลงกล)โจมตครงลาสดนเปนสงทสำาคญเพราะทำาใหปญหาของการจดการคย เพยงดง สงเกต, ลายมอชอดจตอลและการเขารหสฟงกชนตองใชคยการ decrypt และ / หรอตรวจสอบขอมลและใบรบรองแบบดจตอลเปนหนงกลไกทสาธารณะ คยสามารถกระจาย แมวาทกคยสาธารณะโครงสรางพนฐาน (PKI) ผใหบรการรวมทงอยาง Verisign ใหความพยายามของตนเองในการตรวจสอบทกแอปพลเคชนปญหา ไมเปนเรองของเทคโนโลย ดงทระบไวกอนหนา, สองอยาง Verisign ออกใบรบรองแบบดจตอล เพอคนทถกวางกกกกเปนตวแทนของ Microsoft; ทพอ กระตนโจมตจะสนนษฐานใชทกชนเชงทสดเพอทจะรบการรบรองทตอง การ ผโจมตของความสามารถในการปลอมใบสทธ (จากหวจดหมายทจะพมพ คำาขอสำาหรบองคกรใบรบรองดจทลเพอหนงสอเดนทางสตบตรหรออนๆ เอกสารทสงไปยงสนบสนนการโกงใบสมคร) อาจเกนความสามารถ ของ PKI ใหบรการในการตรวจสอบพวกเขา ดวยเหตนความเสยงทอาจเกดขน, IPsec ตองมกลไกท คยสามารถปลอดภยปกครองและการกระจายไปในทางทภาคสาธารณะ คยกบองคกรทมใหพวกเขาเอง เปนเพยงสงเกต, IPsec-secures IP ทไมอนเทอรเนตและไมมน

เหมาะระบบ เชอมตอกบอนเทอรเนตหรอกระบวนการทำางานในบรรดาระบบ IPsec ตอง ไดรบการพจารณาเฉพาะสวนหนงของการรกษาความปลอดภยกลยทธองคกร ขณะท IPsec การปองกนการเขาชมอาจผานปราศจากอนตรายทวโลกอนเทอรเนตกอนทจะออก กำาเนดและหลงการมาถงทมปลายทางทเขาชมจะเสยงตอ การโจมตในทองถนลงคทองถนระบบกระบวนการและใชโปรโตคอลม

63 ENCRYPTION AND AUTHENTICATION ALGORITHMSแทนทจะอาศยความลบเพอปองกนการเขารหสหรอการตรวจสอบโครงการ (วธการเรยกวา "การรกษาความปลอดภยผานความสบสน") TCP / IP ทโปรโตคอลการรกษาความปลอดภย เสมอระบท Cryptographic algorithms เปนทรจกกนดและสามารถเขาถงได น จะทำาจากหลายสาเหตไมใชนอยซงเปนทเปดโปรโตคอลชด, TCP / IP ทโปรโตคอลขอกำาหนดจะตองเผยแพรเสร เหตผลทสำาคญทสดแตเปนความลบทเปนยากจนเกนปองกนความปลอดภย พยายามทจะใหมกลไกการเขารหสลบอยเกอบจะเปนไปโดยเฉพาะอยางยงถา หากมนจะถกใชโดยบคคลใดกไดอนๆบคคลทรอบรความลบ Attackers มเครองมอท cryptanalysis กำาจดสำาหรบทำาลายรหสและ พวกเขาตองการมสทธเขาใชเทานน ciphertexts เพอทำาลายพวกเขา มการเขาถง ซอฟตแวรทใชในการเขารหสลบและ / หรอ decrypt ขอมลลบกบ

กลไกททำาให งานมากงาย: การโจมตตองกำาหนดสงทซอฟทแวรเพอทจะ ขอมลเพอตวเลขวธการกลบดำาเนน ความไดเปรยบทเผยแพร algorithms ใหเปนประโยชนของ พนจโดยนกวจยคนอนๆกำาลงมองหาและเพอหาวธในการปรบปรงหรอ สลบฉาก algorithms ยงการอบรมผเชยวชาญกลไกการตรวจสอบทนอยลง แนวโนมทพวกเขาจะถกมองขามไปท "ชดเจน" โจมต การรกษาความปลอดภยและโปรโตคอล algorithms ยากออกแบบเนองจากมดงนน หลายๆวธการโจมตพวกเขาและออกแบบไมสามารถนกพวกเขาทงหมด แมวาองคกรการรกษาความปลอดภยระดบชาตตลอดจนบรษทอาจมการ เองดานลบรหสลบยากเกบ ปฏบตการพเศษอนๆมมฤจฉาชพ รจกพวกเขาทกษะท motivating (ผานอามสสนจาง, กรรโชกหรอวธอน) คนทรลบเพอแชรการแพรหลายภมปญญาถอในการรกษาความปลอดภยทดหรอการตรวจสอบการเขารหสกลไกควรปลอดภยแมวาผโจมตรอบรสงทเปนกลไก การใช นมความสำาคญสำาหรบผทใช Internet ความปลอดภยเนองจากผโจมต ดวยการดมกลนจะบอยสามารถกำาหนดชนดของเผงกลไกคอ การใชงานโดยฟงเปนระบบเจรจาการการเชอมตอ ในสวนนเราจะครอบคลมถงหาประเภททสำาคญ Cryptographic ฟงกชน

■ สมมาตรเขารหส ■ คยสาธารณะการเขารหส ■ แลกเปลยนคย ■ ปลอดภย hashes (ขอความ digests) ■ ลายเซนดจตอล

Symmetric Encryptionคน สวนใหญมความคนเคยกบสมมาตรเขารหสหากเฉพาะทเกยวกบอวยวะภายใน, โดยการหยงรระดบ: Plaintexts ถกเขารหสดวยคยลบและบางชดของขนตอน และพวกเขาจะ decrypted กบเดยวกนสำาคญและชดเดยวกนกระบวนการ ถา คณมคยทคณสามารถ decrypt ขอมลทงหมดทไดรบการเขารหสดวยคยท บางครงเรยกวาคยการเขารหสลบ, สมมาตรการเขารหสเปน computationally มประสทธภาพและเปนทสดบอยประเภทของการเขารหสลบสำาหรบเครอขายการ ถายทอดวอลมขอมล ในเดอนตลาคม 2000, แหงชาตสถาบนมาตรฐานและเทคโนโลย (NIST) ประกาศท Rijndael 2 กลไกการเขารหสขอมลทไดรบเลอกใน การเขารหสขนสงมาตรฐาน (AES), แทนทเกาเขารหสขอมล มาตรฐาน (DES) กลไกในครงแรกระหวางการพฒนา 1970s โดยไอบเอม DES ใช 56 บตคยแมวารปแบบทเรยกสาม DES encrypts ขอมลสามครง กบกลไก DES ใหปรบปรงการรกษาความปลอดภย การใชการเขารหสทมความปลอดภยตองใชเวลานานพอคย สนคย ทเสยงตอเดยรจฉาน-บงคบโจมตซงในผโจมตใชคอมพวเตอรเพอ

ลอง ทงหมดทเปนไปไดคยทแตกตางกน คยระยะเวลาในการสงซอ 40 บตเชนม ถอวาไมมนคงเนองจากสามารถแตกโดยเดยรจฉาน-บงคบในการโจมตมาก สนสงโดยอนโลมยอมเยาคอมพวเตอร เดยว DES-เดยรจฉานถกบงคบ รวมทง; ทวไป, 128 บตและอกคยมแนวโนมทจะปลอดภยตอดงกลาว โจมตสำาหรบอนาคต สมมาตรเขารหส algorithms สามารถเสยงตอการโจมตประเภทอนๆ สวนใหญทใชสมมาตรเขารหสเพอการสอสารอนเทอรเนตใช เซสชนคยหมายความวาคยทใชเพยงครงเดยวเซสชนสงขอมล (บางครงหลายคยทใชในหนงเซสชน) ขาดทนของเซสชนคย-com โดยอตโนมตดวยเหตน สญญาเฉพาะขอมลทถกสงในขณะทเซสชนหรอสวนของเซสชนเหลานบางสวนอนๆสมมาตร algorithms เขารหสทมการ หรอมกำาลงมการใชงานอนเทอรเนตสำาหรบโปรแกรม RC2/RC4 เชงพาณชยเหลานสมมาตรเขารหส algorithms ถกพฒนาและวางตลาดโดยการอานรหส Fi rm RSA โยนพฒนาในแคนาดาและใชงานโดย Nortel ของ Entrust ผลตภณฑโยนจบ - พอรตถง 128 บตคย ไอเดยนานาชาตขอมลกลไกสนบสนนการเขารหส 128 บตคย มน

คอสทธบตรโดยสวส Fi rm Ascom ซงสทธสำาหรบแนวคดในการ ใชฟร noncommercial ใชในอดมสมบรณและเปดแหลงทมาของการเขารหสโปรแกรมดนารกความเปน สวนตว (PGP) เขยนโดย

Philip Zimmermann และการเผยแพรเปนเวลาโดยเครอขายทเกยวของ, Inc การ GOST นไดตามทรายงานกลไกการพฒนาโดยมการรกษาความปลอดภยตวแทน Soviet ดวลจดโทษ Blowfi กลไกนไดรบการพฒนาโดย Bruce Schneier และออกไป โดเมนสาธารณะ Twofish นคอ Bruce Schneier ของการสงไปยง AES แขงขน กลไก Skipjack นไดรบการพฒนาโดยแหงชาตหนวยงานดานความปลอดภยสำาหรบ พาหนะทมความเรวมากใชกบชป escrowed สำาคญของระบบPublic Key Encryptionคยสาธารณะเขารหส, เรยกอกไมไดสวนสดเขารหส, ใชคคย: หนง, คยสาธารณะคอการเชอมโยงกบอนๆ, ความลบคย คยสาธารณะ มวตถประสงคเพอทำาสาธารณะ ขอมลใดๆทเขารหสดวยคยสาธารณะสามารถ จะ decrypted กบคยลบและขอมลใดๆทมการเขารหสลบคยสามารถ จะ decrypted กบคยสาธารณะ ทกคนสามารถไดรบคยสาธารณะและเขารหสบางขอมลดวย ขอมลทสามารถ decrypted โดยเฉพาะเจาของของลบคย ตราบเทาทองคกรสามารถเกบความ ลบคยลบอนองคกรทสามารถตรวจสอบใหแนใจวาขอมลใดๆเขารหสดวยคย สาธารณะจะเขาใชงานไดเฉพาะกบเจาของของคยทเกยวของลบ การยด ของลบคยสามารถเขารหสลบบางใชทสำาคญและใหใชได

อนนตบคคล นนนตบคคลสามารถยนยนแรกนตบคคลถอเปนความลบของคย เฉพาะคคยสาธารณะโดย decrypting ขอมลกบคยสาธารณะ คยสาธารณะการเขารหสจะทำาใหมแนวโนมทจะ computationally เขมและเปนสวนใหญ มกจะใชในการเขารหสลบสำาหรบเครอขายคยเซสชนสงเปนสำาหรบดจตอล ลายเซน สวนใหญใชชนดของคยสาธารณะการเขารหสเปน RSA กลไก การพฒนาโดย Ron Rivest, Adi Shamir และ Len Adleman RSA กำาหนดกลไก ทเลอกและการสรางความลบ / คยสาธารณะคเปนทจรง คณตศาสตรฟงกชนทจะใชสำาหรบการเขารหสKey Managementหนงทซบซอนมากทสดปญหาหนอนเทอรเนตผเชยวชาญดานการรกษาความปลอดภยเปนวธการ จดการคย ซงรวมถงไมเพยงแตทจรงกระจายของคยผานคย แลกเปลยนโปรโตคอลแตยงเจรจาความยาวของคย, อายและ Cryptographic algorithms ระหวางการสอสารระบบ เปดชองทาง (กลางเปดการสอสารทสง สามารถ overheard) เชนโลกอนเทอรเนต complicates การแบงปน ลบ กระบวนการนเปนสงทจำาเปนเมอสององคกรตองใชคยทจะ ใชสำาหรบการเขารหส บางสวนทสำาคญทสด Cryptographic algorithms กระหนาบคาบเกยว เพอดำาเนนการแบงปนคยมากกวาเปดชองปลอดภยในทางทชวยให ความลบจากทกคนแตผรบ Diffie-Hellman แลกเปลยนคยเปนกลไกทชวยใหองคกรการแลกเปลยน

พอขอมลทไดรบมาเปนเซสชนเขารหสคย Alice (ทเปนกจวตร นตบคคลชอแรกทเขารวมใน Cryptographic โปรโตคอล) คำานวณคา ใช Bob ของประชาชนและคาของเธอเองลบมลคา (Bob กำาลงทสองผ ใน Cryptographic โปรโตคอล) ผมบอบคำานวณคาของเขาเองและสงไปท Alice; พวกเขาแตละแลวใชความลบของพวกเขาเพอคำานวณคาใชรวมกนทสำาคญ คณตศาสตรทมสมพทธงาย (แตภายนอกขอบเขตของหนงสอเลมน); ดานลางบรรทด คอท Bob และ Alice สามารถสงกนและกนเพยงพอขอมลคำานวณของพวกเขา คยทใชรวมกนแตไมพอสำาหรบผโจมตสามารถ Fi gure ออก Diffie-Hellman นนมกจะเรยกวาคยสาธารณะกลไกแตไมใชคยสาธารณะ เขารหสกลไก Diffie-Hellman จะใชในการคำานวณคยแตทสำาคญตอง จะใชกบการเขารหสกลไกอนๆ Diffie-Hellman สามารถใชสำาหรบ การตรวจสอบแมวาและยงเปนทใชงานโดย PGPแลกเปลยนคยใดๆทสำาคญคออนเทอรเนตสถาปตยกรรมความปลอดภยและการรบสมคร สำาหรบ IPsec สถาปตยกรรมรวมถงการรกษาความปลอดภยอนเตอรเนตแลกเปลยนคย (IKE) โปรโตคอลและความปลอดภยของอนเทอรเนตและสมาคมการจดการคยProtocal (ISAKMP) ISAKMP เปนแอปพลเคชนโปรโตคอลใช UDP เปนขนสงทกำาหนดทแตกตางกนประเภทของขอความทสงไปยงระบบกนและกน เพอเจรจาแลกเปลยน

ของคย กลไกและ algorithms สำาหรบทำาจรงแลกเปลยนอยางไรกตาม ไมไดกำาหนดไวใน ISAKMP-เปนกรอบทจะใชโดยเฉพาะกลไก กลไก, บอยตาม Diffie-Hellman แลกเปลยนคย, ไดรบ ทกำาหนดไวในจำานวนทแตกตางกนเสนอเหนอป เหลานบางสวนของพวกเขา Photuris ตาม Diffie-Hellman, Photuris เพมขอกำาหนดท ขอโหนดสงคกกทสมหมายเลขทใชในการจดเรยง เซสชนระบ คกกจะถกสงแรกและเซรฟเวอรทรบทราบ โดยการรองขอกลบมาคกก นลดความเสยงจากการปฏเสธบรการ การโจมตโดย attackers ปลอมแหลงทอยของพวกเขา Photuris ยง ตองทกฝายของพวกเขาลงนามเจรจาคยเพอลดความเสยงของ มนษยในการ-กลางโจมต (ทผโจมต pretends จะ Bob หนง ระบบของ Alice ในขณะทการทำาทาจะ Alice ทอนๆทระบบของ Bob)ขามอา ไมโคร 'แบบงายคยบรหารสำาหรบอนเทอรเนตโปรโตคอล (ขาม) ยงตาม Diffie-Hellman แลกเปลยนคยแตแทนทจะตองฝายสมคาเพอใชในการคำานวณของคยขามสายสำาหรบการ การใชความลบตารางทยงคงสถต ทงสองฝายชะแงลบคา ในตารางนแลวสงการคำานวณคาตามคาบางลบ จากตาราง OAKLEY แมวากลไกนหนคณลกษณะบางอยางกบ Photuris มนแตกตางกนใหโหมดการแลกเปลยนคยสำาหรบสถานการณทปฏเสธบรการ โจมตไมกงวล โดยระบแยกโปรโตคอล, ISAKMP สำาหรบ generalized รปแบบทตองการ ไมสำาคญและรกษาความปลอดภยสมาคมแลกเปลยนมนสามารถใช

เปนฐานในการสราง เฉพาะแลกเปลยนคยโปรโตคอล มลนธโปรโตคอลสามารถใชใดๆ โปรโตคอลรกษาความปลอดภยและไมจำาเปนตองถกแทนทหากทมอยแลกเปลยนคย โปรโตคอลจะถกแทนท ควรสงเกตวาคมอการจดการคยเปนตวเลอกและ ในหลายกรณเปนเพยงตวเลอก วธนตองบคคลเพอบคคล สงคยและกำาหนดคาเครอขายอปกรณทจะใชพวกเขา แมหลงจากทเปดมาตรฐานไดรบการพจารณาและดำาเนนการเปนปกแผนโดยเฉพาะ เปนเชงพาณชย ผลตภณฑคมอการจดการคยจะยงคงเปนทางเลอกทสำาคญ เปนมากกวาการวจยจะทำากบ IPsec ทำางานบนโปรโตคอล IKE สบสายโลหต (บางครงเรยกลกชายของ IKE) คอตอเนองโดย IKEv2 หนงโปรโตคอลทผสมครรบเลอกตง (ณ 2002) เปนความคบหนาในงาน

Secure Hashesการสบเปนดจตอลสรปของกอนขอมลทกขนาด แบบงายประเภท hashes รวมถงการตรวจสอบตวเลข; ปลอดภย hashes ผลตนานผลลพธ (บอย 128 บตหรอนานกวา) ดปลอดภย hashes มยากสำาหรบ attackers เพอกลบ-วศวกร หรอบอนทำาลายงน ปลอดภย hashes สามารถใชกบคยหรอไมมแต

จดประสงคของพวกเขาคอการใหดจทลสรปขอความทสามารถใช ตรวจสอบวามขอมลทไดรบเหมอนกบข ท สงคำานวณสบและรวมถงทมลคากบขอมลผรบคำานวณบนขอมลทไดรบ หากผลลพธทตรงกบแนบคา,

ผรบสามารถมนใจในความสมบรณของขอมล ใช hashes รวม MD2, MD4 และ MD5 ขอความแยกแยะฟงกชนเผยแพรโดยเครอขายทเกยวของ ทปลอดภยกลไก (SHA) เปน แยกแยะฟงกชนพฒนาเปนมาตรฐานโดย NIST Hashes อาจใชในการ เปนเจาของหรอเปนสวนหนงของลายเซนดจตอลDigital Signatureคยสาธารณะเขารหสตามทระบไวกอนหนาน, อาศยในคยค ลายเซนดจตอล พงพาทรพยสนของคยสาธารณะการเขารหสขอมลทชวยใหกบองคกรทเขา รหสลบของคยทจะ decrypted กบคยสาธารณะของค ผสง คำานวณทมความปลอดภยในขอมลทจะลงนามแลว encrypts ผล ใชคยลบ ผรบคำานวณเดยวกนแลว decrypts ท เขารหสคาแนบโดยสง หากทงสองคาตรงกนผรบ รวาเจาของคยสาธารณะเปนนตบคคลทลงนามในขอความ และทแกไขขอความไมไดในระหวางการสง ท RSA คยสาธารณะเขารหสกลไกสามารถใชสำาหรบลายเซนดจตอล:

การลงนามนตบคคลสรางความยงเหยงของขอมลทจะลงนามแลว encrypts ท กบเองลบคย การรบรองนตบคคลนนคำานวณเดยวกน ในขอมลทไดรบ decrypts ใชลายเซนลงนามนตบคคลของคยสาธารณะและเปรยบเทยบสองคา หากเหมอนกบ decrypted ลายเซนแลวขอมลคอรบรอง ลายเซนดจตอลพกกบพวกเขาหลายนย■ ลายเซนทสามารถรบรองระบวาขอความนถกไดรบ โดยไมมการดดแปลงจากเวลานนลงนามในเวลานนไดรบ

■ หากไมสามารถลายมอชอรบรองแลวขอความนถกเสยหายหรอ tampered กบขนสง, ลายเซนคอการคำานวณไมถกตองหรอลายเซนเสยหายหรอถก tampered กบขนสง ในทกกรณท unverifiable ลายเซนไมจำาเปนตองพดเปรยใดๆทอธรรมแตไมจำาเปนตองให ขอความทจะลาออกและขดแคนเพอเปนทยอมรบ ■ หากเปนลายเซนรบรองวาองคกรทเกยวของกบประชาชน คยคอเฉพาะนตบคคลทอาจมการลงนามมน ในคำาอนๆทนตบคคล เชอมโยงกบคยสาธารณะไมสามารถปฏเสธทมการลงนามขอความ น

เรยกไมทอดทงและเปนคณสมบตสำาคญของลายเซนดจตอล มกลไกอนๆสำาหรบลายเซนดจตอลทำาแตอาจเปน RSA สวนใหญทใชกนอยางแพรหลายมการนำาหนงและไดรบความนยมสงสดในอนเทอรเนตผลตภณฑ 64 IPSEC: THE PROTOCOLSIPsec เปนโปรโตคอลการรกษาความปลอดภย tunneling, เด๏ฌ nning เปนกลไกทชวยใหทโหนดเพอ เขารหสลบและ / หรอตรวจสอบแพคเกตและ encapsulate ทหลกประกนแพคเกต (ซง อาจเปนไปตามตวอกษรซงแปลไมออกไดถกเขารหส) ลงในแพกเกจใหม แสดงรปท 61 ขนพนฐานแนวคดเบองหลง IPsec และอนๆการรกษาความปลอดภย tunneling โปรโตคอล IPsec ขนอยกบการใชการรกษาความปลอดภย gateways ซง encapsulate แพคเกต IP ในนามของลกคาของพวกเขา ในรปท 61, เกตเวยรกษาความปลอดภยทถกตดปายโ เอกซโ ใหบรการ€ € , ในหมผอนไพรพลก, B และเซลเซยส; โ € Y โ ใหไพรพลก€ , B และ

C การปดเครองใน ขางมซอฟตแวรรกษาความปลอดภยเกตเวย ในตวอยางนการอโมงคจาก X เปน Y carries ทงหมดหลกประกน traf ๏ฌคระหวางสอง pictured Internets ในกรณนแตละ integrates เกตเวยรกษาความปลอดภยทงหมด traf ๏ฌคสำาหรบเครอขายในทองถนและ encrypts และ / หรอ

หนา 161

authenticates ทงหมดระหวางมนเองและเกตเวยรกษาความปลอดภยอนๆทสนสด ถา อตราการเขาชมทงหมดจะถกเขารหส (ดเดมพน) แลวใดโจมตนงภายในสาธารณะอนเทอรเนตสามารถสกดกนแพกเกจเหลานแต จะไดรบขอมลสมพทธเลกนอยจากพวกเขา ทดทสดทโจมตจะพบวามความปลอดภยอโมงค ระหวางเอกซและ Y แตเธอกจะมโอกาสเรยนรเฉพาะอตราการเขาชมเทาใดถกสง ระหวางสองความปลอดภย gateways การรกษาความปลอดภย gateways สรางอโมงคปลอดภยดงทแสดงในรปท 62 โดยรบแพคเกต IP หนงโหนดสงจาก (ก) ถงอน (ข) การสงออกทเปนแพกเกจ หากพวกเขาจะถกสงโดยตรงไปยงบ; เอกซเกตเวยรกษาความปลอดภยแลวจะใชเวลา บรรดาแพคเกต (พรอมดวยใดๆอนจากเครอขายเดยวกน) พวกเขาและถอวา เปนขอมลดบทจะสงไปยง Y เกตเวยรกษาความปลอดภยทแพคเกตทถกสงโดยจะปรากฏ เปดเปน envelopes เพอบงชวาพวกเขายงไมไดรบการเขารหสใน

ขณะทแพกเกจทสงจาก X จะปรากฏเปน envelopes ประทบตราเพอแสดงวาพวกเขาม เขารหสแพคเกตทสงมาจากก

หนา 162ตนฉบบ IPsec โปรโตคอลการรกษาความปลอดภยกำาหนดขอกำาหนดสำาหรบการรบรองความเปนเจาของ สวนหว (พงรเถด) และ Encapsulating การรกษาความปลอดภย Payload (ESP) IP ทเลอกเปนสวนหว ตวเลอก (สำาหรบ IPv4) หรอหวเรองนามสกล (สำาหรบ IPv6 การ) เปนชอแบะทา, พงรเถดใหมกลไกการตรวจสอบท ESP ใหเขารหส ( "encapsulated ความปลอดภย") กลไกสำาหรบขอมลสวนบคคล

IP AND IPSECIPsec ใหบรการรกษาความปลอดภยสำาหรบทง IPv4 หรอ IPv6 การแตวธการทระบไว บรรดาเปนบรการทแตกตางกนเลกนอยในแตละ เมอใชกบ IPv4, IPsec หวเรองคอ แทรกหลงจาก IPv4 สวนหวและกอนหนาถดไป-เลเยอรโปรโตคอลหวเรอง

หนา 163งาย IPv6 การประมวลผลหวเรอง: ทก IPv6 การหอหวเรองคอเดยวกนความยาว 40 octets แตตวเลอกใดๆสามารถ accommodated ในหวเรองสวนขยายทปฏบตตาม ท IPv6 การหวเรอง IPsec บรการจดหาผานเหลานนามสกล การสงซอของ IPsec หวเรองวาภายใน IPv4 หรอ IPv6 การม

ความสำาคญ ตวอยางเชนทำาใหเหมาะสมเขารหสท payload กบ ESP หวเรองแลว ใชการรบรองความเปนเจาของสวนหวเพอใหขอมลในการเขารหส payload ในกรณนการพงรเถดสวนหวปรากฏแรกตามดวย ESP สวนหวและ เขารหส payload ถอยหลงลำาดบโดยทำาขอมลเปนครงแรกแลว การเขารหสทงมาก, หมายความวาคณสามารถตรวจสอบวาทมาของขอมล แตไมจำาเปนบางของผกระทำาการเขารหส

Security Associationsการรกษาความปลอดภยสมาคม (SA) เปนองคประกอบพนฐานของ IPsec RFC 2401 กำาหนด SA เปน "มสมเปลกส 'การเชอมตอ' ท affords รกษาความปลอดภยบรการทอตราการเขาชมดำาเนนการโดยมน "นคอนขางหรบหรนยามชแจงโดยมคำาอธบาย; การ SA ประกอบดวยสามสง ■ ความปลอดภยพารามเตอรดชน (SPI) ■ การไอพทอยปลายทาง ■ การรกษาความปลอดภยโปรโตคอล (พงรเถดหรอ ESP) ระบ ในฐานะทเปนสมเปลกสการเชอมตอท SA ภาคปลายทางเพยงแหงเดยวกบ SPI; ดงนน IP ทเขาชมสำาหรบทวไปจะมสอง SAs: หนงในแตละทศทางอตราการเขาชมทมความปลอดภย ไหล (หนงแตละสำาหรบโฮสตตนทางและปลายทาง) SAs ใหบรการโดยการรกษาความปลอดภย พงรเถดหรอใชทง ESP ทงแตไม (ถามอตราการเขาชมใชทงสตรม

และพงรเถด ESP แตกม สองหรอมากกวา-SAs)การรกษาความปลอดภยพารามเตอรดชน (SPI) เปน identifi เออระบประเภทของไอพ หวขอการรกษาความปลอดภยสมาคมจะถกใชสำาหรบ (พงรเถดหรอ ESP) ท SPI เปนแบบ 32 บต คาระบ SA และแตกตางจากทอนๆทเชอมโยงกบ SAs เดยวกน ปลายทางทอย สำาหรบความปลอดภยการสอสารระหวางสองระบบจะม มการรกษาความปลอดภยทแตกตางกนสองสมาคมหนงปลายทางสำาหรบแตละทอย แตละสมาคมการรกษาความปลอดภยรวมถงขอมลเพมเตมเกยวกบประเภทของ เจรจาความปลอดภยสำาหรบการเชอมตอทดงนนระบบตองตดตามของ SAs และสงทประเภทของการเขารหสหรอการตรวจสอบ algorithms, คยระยะเวลาและคย lifetimes ไดรบการเจรจากบ SA ปลายทางไพรพลUsing Security Associationsดงกลาวกอนหนา, ISAKMP ให generalized โปรโตคอลการจดตง SAs และจดการ Cryptographic คยภายในอนเทอรเนตสงแวดลอม วธการและรปแบบแพคเกทจำาเปนในการจดตง, เจรจา, แกไข, และลบ SAs มการกำาหนดภายใน ISAKMP ซงยงกำาหนด payloads สำาหรบการแลกเปลยนคยการสรางและการตรวจสอบขอมล รปแบบเหลานใหสอดคลองกรอบสำาหรบการโอนขอมลนไมวาคยหรอสงทสรางขน ประเภทของการเขารหสลบหรอการตรวจสอบ algorithms กำาลงม

การใช ISAKMP ไดรบการออกแบบเพอใหกรอบทสามารถใชงานโดยโปรโตคอลการรกษาความปลอดภย ใดๆทใช SAs ไมใชแค IPsec เพอเปนประโยชนสำาหรบการรกษาความปลอดภย โปรโตคอล, โดเมนของตความหรอดอยตองถกกำาหนด ทดอยกลม โปรโตคอลทเกยวของเพอวตถประสงคในการเจรจาความปลอดภยสมาคมการรกษาความปลอดภย โปรโตคอลทแชรดอยทงหมดเลอกโปรโตคอลและ Cryptographic transforms จาก ทวไป namespace พวกเขายงแบงปนแลกเปลยนคยโปรโตคอล identifiers รวมทง เปนทวไปตความ payload ขอมลเนอหา ขณะท ISAKMP และ IPsec ดอยใหกรอบงานสำาหรบการตรวจสอบและ แลกเปลยนคย, ISAKMP ไมจรง defi ไมวาผทมหนาททจะ ดำาเนน ท IKE โปรโตคอลทำางานภายในกรอบกำาหนดโดย ISAKMP,

defi จะไมเปนกลไกสำาหรบครอบครวเหลานเพอดำาเนนการแลกเปลยน ทสงโฮสตรอบรสงทชนดของการรกษาความปลอดภยเพอใชกบแพคเกโดย ดนโยบายในการรกษาความปลอดภยฐานขอมล (SPD) ทสงโฮสตกำาหนดนโยบายเปนสงทเหมาะสมสำาหรบการแพคเกขนอยกบหลาย selectors (เชน ปลายทางทอย IP และ / หรอขนสง-เลเยอรพอรต) โดยดใน SPD ท

SPD ระบวานโยบายสำาหรบการแพคเก: เชนกนทหอตอง IPsec การจดเรยงบาง-ซงในกรณทจะผานไป IPsec โมดลสำาหรบ การประมวลผลหรอไมในกรณทมเพยงผาน IP ทพรอมสำาหรบปกต การประมวลผล

แลนออกแพกเกจจะตองตรวจสอบเทยบกบ SPD เพอดประเภท (ถาม) IPsec ของการประมวลผลเพอใช ขาเขาจะตรวจสอบแพกเกจเทยบกบ SPD เพอด ชนดของ IPsec บรการควรในแพคเกตบรรดา ฐานขอมลอนๆทเรยกสมาคมการรกษาความปลอดภยฐานขอมล (เศรา) ทงหมด พารามเตอรทเกยวของกบการรกษาความปลอดภยทงหมดททำางาน SAs เมอ IPsec โฮสตตองการ สงหบหอกจะตรวจสอบทเหมาะสม selectors เพอดสงทเศรากลาวคอ นโยบายการรกษาความปลอดภยทปลายทาง / พอรต / สมคร ท SPD อาจอางอง เฉพาะ SA ดงนนโฮสตสามารถดขนใน SA เศราเพอระบเหมาะสม การรกษาความปลอดภยทพารามเตอรสำาหรบหอTunnel and Transport Modeนแพคเกตจะมหลกประกนตราบเทาทพวกเขาเปน "ภายใน" ทอโมงคแมวาท ทเกดและปลายทางไพรพลสามารถสงหลกประกนแพคเกตตวเองดงนน ทเปนระบบอโมงค encapsulating แพคเกตทมแลวหลกประกน คมนาคมโหมดดใดๆทสองแตละไพรพลทตองการตดตอสอสารปลอดภย; อโมงคโหมดรากฐานของเครอขายสวนตวเสมอนหรอ VPN ท อโมงคโหมดยงตองใดกไดเกตเวยรกษาความปลอดภย (อปกรณเสนอ IPsec บรการระบบอนๆ) ทเกยวของกบทเปนทงสนสดของการสง IPsec การรกษาความปลอดภยสอง gateways ตองสอสารโดย tunneling แพคเกต IP ภายใน

แพกเกจ IPsec; เดยวกนจะไปสำาหรบแตละโฮสตสอสารกบการรกษาความปลอดภยเกตเวย สงนจะเกดขนตลอดเวลาโทรศพทเคลอนทแลปทอปผใชเขาสระบบของ องคกร VPN ท จากถนนเชน Tunneling, แสดงในรปท 63 ใหสองระบบเพอตงคาเพอเปดใช SAs ความปลอดภยการสอสารผานอนเตอรเนต เขามาในเครอขายหนงระบบไดรบการเขารหสและ / หรอลงนามและจากนนสงไปยงปลายทางระบบ บน ใบเสรจรบเงนท datagram เปน decrypted หรอสทธและเปน payload ผาน ขนพรอมรบระบบเครอขายของสแตคทจะประมวลผลโดยสดทาย แอปพลเคชนทใชขอมล นคอโปรงใสโหมดใชการรกษาความปลอดภยสมาคมเนองจากทงสองไพรพลสามารถ สอสารไดอยางงายดายเชนเดยวกบโดย การรกษาความปลอดภยสวนหวและเนองจากจรง IP ทสวนหวของ datagrams จะตอง ออกเพอใหพวกเขาทจะสงผานอนเทอรเนต การ SA สามารถใชเพออโมงคปลอดภย IP ทผาน internetwork รปท 64 แสดงใหเหนวางานน ทงหมดแพคเกต IP จากระบบทจะถกโอนไปทความปลอดภย เกตเวยเอกซซงสรางอโมงค IP ทผานอนเทอรเนตเพอความปลอดภยเกตเวย Y, ซง unwraps ท tunneled ลำาหนาแพคเกตและพวกเขา เกตเวยรกษาความปลอดภยของ Y อาจ สงบรรดาแพกเกจใดๆของไพรพล (ข, เซลเซยสหรอด) ภายในเองในทองถนอนทราเนต หรอสามารถสงพวกเขาภายนอกโฮสตเชนเมตรมนทงหมดขนอยกบ

ท ทเกดโฮสตชนำาบรรดาแพกเกจ เมอใดกตามท SA ปลายทางโหนดเปนเกตเวยรกษาความปลอดภยเปนนยามโดยมสมาคม tunneled ในอนๆคำา tunneling สามารถ กระทำาการรกษาความปลอดภยสอง gateways (ตามทแสดงในรปท 64) หรอจะสามารถทำาได ระหวางโหนดปกตและการรกษาความปลอดภยเกตเวย ดงนนเอมโฮสตสามารถสรางถงใหญ - neled ทงการรกษาความปลอดภยการเชอมตอกบประต, X หรอ Y เปน tunneled โดยอาศยอำานาจการ ขอเทจจรงทวา datagrams สงจากทผานเอมครงแรกเพอการรกษาความปลอดภยเกตเวยทแลว ขางหนาพวกเขาหลงจากทเหมาะสม decrypting หรอตรวจสอบ

Encapsulating Security Payload (ESP)ทระบใน RFC 2406, "IP ท Encapsulating รกษาความปลอดภย Payload (ESP)," ในสวนหวของ ESP IP ท nodes เพอชวยใหการแลกเปลยน datagrams ซงจะเขารหส payloads ท ESP สวนหวไดรบการออกแบบเพอใหหลายๆบรการ (บางทบซอนกบ การตรวจสอบความถกตองสวนหว) รวมถงตอไปน ■ ลบของ datagrams ผานการเขารหส ■ การตรวจสอบของขอมลตนทางโดยการใชคยสาธารณะการเขารหส ■ Antireplay บรการผานเดยวกนลำาดบหมายเลขกลไกเปนทมาจากการรบรองความเปนเจาของสวนหว ■ จำากดการเขาชมชนอยลบผานการใชการรกษาความปลอดภย gateways ทสวนหวของ ESP สามารถใชรวมกบการรบรองความเปนเจาของ

สวนหว ใน จรงเวนแต ESP ใชบางสวนหวกลไกสำาหรบการตรวจสอบจะแนะนำาทรบรองความเปนเจาของสวนหวใชกบสวนหวของ ESP ทสวนหวของ ESP หวเรองใดๆตองเปนไปตามทตองไดรบการประมวลผลโดย nodes ระดบกลางเพอปลายทางโหนด-ขอมลทงหมดทตามทสวนหวของ ESP จะ ไดรบการเขารหสดวยการเขารหส payload เรมตนโดยตรงหลงจากสดทาย ESP สวนหว Fi eld (ดรายละเอยดตอไปน) ESP สามารถใชในอโมงคหรอขนสงโหมดคลายกบการตรวจสอบ สวนหว ในการขนสงโหมดไอพสวนหวและใด Hop-โดยปฮอป, การโอนหรอการ แบงออกเปนชนเลกขยายหวเรองลวงทรบรองความเปนเจาของสวนหว (ถาปจจบน) ตามดวยสวนหว ESP ตวเลอกใดกไดปลายทางหวเรองสามารถลวง

หนา 167หรอปฏบตตาม ESP สวนหวหรอแมกระทงทง; ใดหวเรองทปฏบตตาม ESP สวนหว มการเขารหส ผลปรากฏในหลายๆเคารพเพอเพยงเปนปกต datagram IP ทสงจากแหลงทมาเพอปลายทางโดยการเขารหส payload นใช ESP ใน ขนสงโหมดเหมาะสมในบางกรณแตชวยให attackers การศกษาอตราการเขาชมระหวางสอง nodes, noting ซงเปน nodes สอสาร, เทาใด แลกเปลยนขอมลทพวกเขาเมอพวกเขาแลกเปลยนมนและเพอออก ขอมลนอาจทงหมด

อาจใหโจมตกบขอมลทชวยใหการสอสารทปราชยฝาย ทางเลอกทจะใชเกตเวยรกษาความปลอดภย, มากเปนเพยงอธบายสำาหรบ รบรองความเปนเจาของสวนหว รกษาความปลอดภยเกตเวยสามารถทำางานโดยตรงกบโหนดหรอ สามารถเชอมโยงไปยงอกเกตเวยรกษาความปลอดภย เดยวสามารถใชโหนด ESP ในอโมงคโหมดโดย เขารหสทงหมดออกไปขางนอกแพคเกตและพวกเขาใน encapsulating แยกกระแส IP ท datagrams ทจะสงไปถงการรกษาความปลอดภยเกตเวย นนเกตเวยแลวสามารถ decrypt อตราการเขาชมและสงตนฉบบใหกบ datagrams จดหมาย เมอ tunneling ท ESP สวนหว encapsulates ทงหมด tunneled IP ท datagram และเปนสวนเสรมท IP ทสวนหวชนำาเพอท datagram เกตเวยรกษาความปลอดภย นอกจากนยงสามารถรวมกบการตรวจสอบความถก ESP หวเรองหวเรองในหลายๆ วธตางๆ; เชน tunneled datagram อาจมการคมนาคมโหมด รบรองความเปนเจาของสวนหว ตอไปนรปแบบสวนหวของ ESP (จาก RFC 2406) รวมถงการถดไป สวนหวของฟลดทปรากฏอยใกลกบสวนทายของ ESP สวนหวและแสดง ตอหนา (และตว) ของหวเรองอนๆ (เชนพงรเถด) ตามทอาจ ท เหลอของ ESP หวเรองประกอบดวยตอไปน การรกษาความปลอดภยของพารามเตอรดชน (SPI) นคอเดยวกน 32 บตคาในการอางถง

สวนในการรบรองความเปนเจาของสวนหว คานมการใชงานโดยการสอสาร nodes เพออางถงการรกษาความปลอดภยสมาคมทสามารถใช ตดสนใจวาขอมลทควรไดรบการเขารหส

หนา 168ลำาดบหมายเลขน 32 บตคากำาหนดเปนศนยทจะเรมตนและเปน incremented โดยหนงกบแตละ datagram สง เปนเพยงอธบายสำาหรบการตรวจสอบ สวนหว, ลำาดบตวเลขทสามารถใชเพอปองกนการโจมตแขงใหม, และความปลอดภยสมาคมใหมจะตองตดตงกอนหนานมลคารอบ ผานทงหมด 2 คา 32 Payload ขอมลนเปนตวแปร-ยาวฟลดจรงและมการเขารหส สวนของ datagram พรอมดวยการเสรมขอมลใดๆทจำาเปนสำาหรบ

กลไกการเขารหส (เชนการลงนามขนแรกขอมล) ทเรมตนดวย payload การเขยนชอยอเวกเตอร, คาทจะตองถกสงใน plaintext; เขารหส algorithms คานจำาเปนตองใชเพอการปองกนขอมล decrypt แพดดงทเขารหสสวนของสวนหว (ท payload) ตองลงทายบน เหมาะสมขอบเขตดงนนการขยายอาจจำาเปน แพดดงระยะเวลาฟลดนจะแสดงวามากรองไดถกเพมลงใน ท payload ขอมล ถดไปสวนหวฟลดนทำางานตามปกตใดๆ IPv6 การหวเรองสวนขยาย; มนเพงจะปรากฏอยใกลกบสวนทายของสวนหว (ทสามารถ ใหการปองกนความลบ) แทนทจะทจดเรมตนเพอให ถดไปเลเยอรโปรโตคอลสามารถซอนใดๆทไมไดรบอนญาตจาก

บคคลทสาม ตรวจสอบขอมลทนคอการตรวจสอบความซอสตยมลคา (ICV) คำานวณบน สวนหวของ ESP ทงหมด (ยกเวนสำาหรบการรบรองความถกตองขอมล) การรบรองความเปนเจาของน คำานวณกคอตวเลอก ท ICV เปนสวนทมากกวาความยาวตอไปน

655 Authentication Headerการรบรองความเปนเจาของสวนหวสามารถนำาไปใชเพอดำาเนนการตอไปน ■ ใหแขงแรงซอสตยบรการสำาหรบ IP ท datagrams ซงหมายความวาทพงรเถดสามารถ ถกนำามาใชเพอดำาเนนการตรวจสอบเนอหาขอมลสำาหรบไอพ datagram ■ ใหแขงแรงสำาหรบการตรวจสอบ IP ท datagrams ซงหมายความวาทพงรเถด สามารถใชลงคองคกรทมเนอหาของ datagram ■ ให nonrepudiation สำาหรบ IP ท datagrams, ยโสทคยสาธารณะดจตอล ลายเซนกลไกใชสำาหรบบรณภาพบรการ ■ การแขงใหมปองกนการโจมตผานการใชของลำาดบหมายเลขฟลด การรบรองความเปนเจาของสวนหวสามารถใชในอโมงคโหมดหรอโหมดในการขนสง, ซงหมายความวามนสามารถนำาไปใชเพอตรวจสอบและปองกนงายๆโดยตรง datagram โอนสอง nodes หรอมนสามารถนำาไปใชเพอ encapsulate ทงหมด กระแส datagrams ทจะถกสงไปยงหรอจากการรกษาความปลอดภยเกตเวย

พงรเถดระบไวใน RFC 2402, "การตรวจสอบ IP ทสวนหว" และหวเรองคอ ปรากฏบนหนา 115 (จาก RFC 2402) ขนสงในโหมดการตรวจสอบความถกสวนหวปกปอง payload ของตนฉบบ datagram IP ทเปนสวนของ IP ทสวนหวทไมเปลยนจาก

หนา 169กระโดดโลดเตนไป (เชนท Hop วงเงน Fi eld หรอโอนสวนหว) รปท 65 สงทแสดง ทเกดขนเพอการขนสงโหมด datagram IP ทเปนทรบรองความเปนเจาของสวนหวคำานวณและใสเพมลงไป (ปลายทางตวเลอกสวนหวอาจปรากฏกอน รบรองความเปนเจาของสวนหว) ปลายทางทอย IP และมสวนขยายหวเรอง คมครองเทานน insofar เปนพวกเขาจะไมเปลยนไปจากกระโดดโลดเตน เมอตรวจสอบความถกตองเปนสวนหวทใชในอโมงคโหมดอยางไรกตามมการใชงาน นานาเนก รปท 66 จะแสดงความแตกตาง ตนฉบบปลายทางทอย IP, พรอมทงตนฉบบ datagram IP ทเปน encapsulated ลงในมดชดใหม IP ท datagram อะไรทสงถงการรกษาความปลอดภยเกตเวย ดงนนทงตนฉบบ IP ท datagram มการปองกนทเปนสวนของ encapsulating IP ทสวนหวทไม เปลยน พงรเถดหวเรองประกอบดวยฟลดตอไปน Payload ยาวน 8 บตฟลดแสดงทงความยาวของการตรวจสอบในสวนหวของหนวย 32 บตคำา, ลบ 2

เปนครงแรกทกำาหนดไวในการรบรองความเปนเจาของสวนหวประกอบดวย 64 บตของหวเรอง กบสวนทเหลออทศเพอการตรวจสอบขอมล (ดรายละเอยดตอไปน) ดงนนการจาย โหลดยาวฟลดเพยงแสดงความยาว (ใน 32 บตคำา) ของขอมล authentiation ดวยการเพมของลำาดบหมายเลขฟลด (ดตอไปน) คานเดยวนเทากบความยาวของการตรวจสอบขอมลบวกดวยความยาวของ ลำาดบหมายเลขฟลด

หนา 170สงวนถดไป 16 บตจะถกสงวนไวสำาหรบการใชงานในอนาคต; ปจจบนทพวกเขาจะตอง การตงคาทงหมดศนย การรกษาความปลอดภยของพารามเตอรดชน (SPI) น 32 บตมลคาเปนขอหมายเลข รวมกบปลายทางทอย IP และการรกษาความปลอดภยโปรโตคอล (ในกรณน พงรเถดเพอแสดงการรบรองความเปนเจาของสวนหว), SPI เอกลกษณทระบ สมาคมการรกษาความปลอดภยทจะใชสำาหรบการรบรองความเปนเจาของสวนหว การ SPI คา การเปนศนยสำาหรบทองถนใชเทานนและไมควรสง; คาจาก 1 ถง 255 สงวนโดยมอนเทอรเนตมอบหมายหมายเลขรบรองสทธ (IANA) สำาหรบการใชงานในอนาคต ลำาดบหมายเลขน 32 บตมลคาเปนบงคบเคานเตอร; เปนรวม โดยสงแมวาอาจไมเคยถกใชโดยผรบ เรมตน จากศนยนนบเปน incremented ทก datagram สงและมการใชงาน

เพอปองกนการโจมตแขงใหม เมอผรบใชสำาหรบวตถประสงค antireplay จะทง datagrams ใดๆทซำาเปนลำาดบตวเลขท ไดรบ ซงหมายความวาเมอเคานเตอรพรอมทจะ วฏจกรผาน (เมอ 2 32 datagrams ไดรบ) การรกษาความปลอดภยใหม สมาคมจะตองเจรจา-อนทไดรบระบบจะทงทกครง datagrams เคานเตอรคอรเซต ตรวจสอบขอมลทฟลดนประกอบดวยเชคมลคาซอสตย (ICV), ซงเปนหวใจสำาคญของการตรวจสอบความถกสวนหว เนอหาตองเปน หลายของ 32 บตยาวและอาจมการขยายเพอบรรลเปาหมายทยาว การคำานวณคานคอในสวนถดไปCalculating the Integrity Check Value (ICV)การตรวจสอบขอมลในฟลดและพงรเถด ESP หวเรองมตวแปรยาวสาขา แตละทมการตรวจสอบความซอสตยมลคา (ICV) ฟลดเปนตวแปรยาว เพอรปแบบจาก ICV algorithms และความยาวระบโดย เลอกฟงกชน นเปนตวเลอกฟลด: เปนรวมเฉพาะเมอมการตรวจสอบทอยในบรการใชสำาหรบ SA ทสอดคลองกบสวนหวและขอมล เกยวกบ ICV ฟงกชนใชเปนรกษาพรอมกบสวนทเหลอของ SA ขอมล การคำานวณ ICV เปนบตพรากลในทบางสวนของขอมลทสทธ อาจมการแกไขในระยะทางเชนไอพหวกระโดดนบ ตาม RFC 2402 ทพงรเถด ICV คอคำานวณในฟลดหวเรอง IP ทใดทไมเปลยนแปลงในการขนสงหรอผทมาถงคาทสามารถคาดการณท พงรเถดหวเรองเอง (แมวาท ตรวจสอบขอมลทฟลดการกำาหนดเปนศนยสำาหรบการคำานวณ) และระดบบนโปรโตคอลขอมลทถกสทธ (สนนษฐานนจะคงตวในการ

ขนสง) ท ESP ICV ตาม RFC 2406 เปนคำานวณในแพคเกทงหมด ESP,

ยกเวนการตรวจสอบขอมลฟลด ซงรวมถง SPI, ลำาดบหมายเลข Payload ขอมลแพดดง (หากปจจบน), ความยาวยอและถดไปสวนหว; สดทายสชอง จะอยใน ciphertext รปแบบตงแตการเขารหสจะทำากอนทการตรวจสอบ

หลานคอทแนะนำา algorithms สำาหรบ ICV ขอความรบรองรหส (MACs), ผลลพธของทแลว การเขารหสทเหมาะสมกบกลไกสมมาตรเขารหส (เชน AES) ปลอดภยฟงกชนเชน MD5 หรอ SHA-1 (การอปเดทเวอรชนของ SHA) เพอใหสอดคลองกบมาตรฐาน, implementations ตองสนบสนน MD5 และ SHA-1 keyed hashing อยางนอย 657 IPsec Headers in ActionIPsec การรกษาความปลอดภยบรการจดหาผานและพงรเถด ESP สวนหวรวมของหลกสตรทเหมาะสมและมความเกยวของกบการจดการคยโปรโต คอล ทพงรเถด โปรโตคอลเปน specifi ed ใน RFC 2402, "การตรวจสอบ IP ทสวนหว"; ESP ระบไวใน RFC 2406, "IP ท Encapsulating รกษาความปลอดภย Payload (ESP) " ทงการรกษาความปลอดภยสวนหวอาจจะใชเองหรอทงสองอยางอาจจะใชรวมกนใน ชดคาผสมตางๆของการขนสงหรออโมงคโหมด เมอใชรวมกบพงร เถด

encapsulating ESP, แพคเกการตรวจสอบสามารถตรวจสอบกอนท decrypting ESP สวนหว payload สวนหวนยงสามารถซอนเมอใช IPsec tunneling: การเกดโหนดสามารถเขารหสและแบบลายมอชอดจทลทหอแลวสง เพอความปลอดภยในทองถนเกตเวย นนเกตเวยอาจแลว reencrypt และทลาออก แพคเกตามทสงมนออกไปยงอกเกตเวยรกษาความปลอดภย ท ESP และพงรเถดการตรวจสอบบรการทแตกตางกนเลกนอย: ESP การตรวจสอบบรการปรกตใหเฉพาะในแพคเก payload ทพงรเถด authenticates เกอบทงหมดรวมทงสวนหวแพคเก ลำาดบทหมายเลขฟลดเปนบงคบทงหมดและพงรเถด ESP หวเรองและเปน ทใชในการใหบรการ tireplay ทกครงทหอใหมจะถกสงทลำาดบ หมายเลขเพมขนหนง (แรกหอสงใหกบ SA จะม ลำาดบจำานวน 1) เมอไดรบโฮสต elects ทจะใชบรการสำาหรบ antireplay หนง SA, โฮสตตรวจสอบลำาดบหมายเลข: หากไดรบแพคเกกบลำาดบ จำานวนคาทจะไดรบแพคเกทเปนยกเลก การรบรองความเปนเจาของขอมลทฟลด ontains ตองมขอมลใดๆโดย กลไกการตรวจสอบทเฉพาะทระบสำาหรบการตรวจสอบท SA แพคเก ท ICV อาจม keyed ขอความรบรองรหส (MAC) ตาม ในสมมาตรกลไกการเขารหส (เชน AES หรอสาม DES-) หรอเดนรถทางเดยว ฟงกชนเชน MD5 หรอ SHA-1 ทแตกตางกนอยางเหนไดชดทสด ESP และพงรเถดคอสวนหวของ ESP

สวนหวฟลดถดไปจะปรากฏทสวนทายของการรกษาความปลอดภย payload แนนอนเนองจาก สวนหวอาจ encapsulating ทเขารหส payload คณไมจำาเปนตองทราบ ถดจากสวนหวทจะคาดหวงจนกวาหลงจากทคณ decrypted ท payload-ดงนนท ESP สวนหวเปนฟลดถดไปหลงจากทแทนทจะกอน payload ESP ของการตรวจสอบบรการครอบคลมเฉพาะ payload เองไม IP ทสวนหวของตนเองหอเชนเดยวกบการตรวจสอบทสวนหว และความลบบรการครอบคลมเฉพาะ payload เอง; โทคณไมสามารถเขารหสไอพหวเรอง ในแพคเกวตถประสงคเพอสง payload และยงคาดหวงใดๆทอยระหวางกลาง เราเตอรทสามารถประมวลผลการหอ แนนอนหากคณกำาลงใช tunneling คณ สามารถเขารหสทกสงทกอยางแตทกอยางในแพคเก tunneled เอง

IMPLEMENTING AND DEPLOYING IPSECไอพ-เลเยอรความปลอดภยปองกน IP ท datagrams ซงไมจำาเปนตองตองเกยวของกบการ ผใชหรอโปรแกรมประยกต ซงหมายความวาผใชอาจครกครนใชทงหมดของแอปพลเคชนโดยการทราบวา ทงหมดของพวกเขา datagrams หรอมการเขารหส สทธกอนทจะสงออกไปยงอนเทอรเนต (แนนอนวาสถานการณจะ เกดขนเฉพาะตราบเทาทงหมดเขารหส datagrams ถก decrypted โดยไพรพล อนๆทสนสด)

ดงนนหนงคำาถามทมาเปนวธการ IPsec RFC 2401 แนะนำาหลายกลยทธสำาหรบการนำา IPsec ในโฮสตหรอรวมกบ เปนเราเตอรหรอไฟรวอลลการดำาเนนการรวม IPsec ในพนเมอง IP ทดำาเนนการ นอาจเปนวธทดทสดแตยงทสดยากเนองจาก จำาเปนตองเขยนใหมทพนเมอง IP ทดำาเนนการเพอรวมการสนบสนน IPsec การผสานรวม IPsec IP ทเขาสกอง natively เพมการรกษาความปลอดภยและทำาใหเปนสวนหนงของ IP ทดำาเนนการ แตยงตองการใหทงหมด กองขาวไดรบการปรบปรงเพอสะทอนใหเหนการเปลยนแปลงท "ลกโปงในการ-สแตค" (บต) IPsec ใช "ใต" ไอพสแตคและเหนอ เครอขายทองถนไดรเวอร IPsec การดำาเนนการตรวจสอบ IP ทเขาชมเปนมน จะไดรบหรอสงผานลงคทองถนและ IPsec หนาทมประสทธภาพใน ในแพคเกตทผานไปกอนพวกเขาขนหรอลงของสแตค นทำางานเหตผล ดวยความสามารถดสำาหรบแตละครอบครวทำา IPsec

วธนแทรกเพมพเศษ IPsec รหสลงในเครอขายกองขาวเพยงทอยดานลาง ทมอย IP ทเครอขายซอฟตแวรและเหนอทองถนลงคซอฟตแวร ในอนๆ คำาน implements วธการรกษาความปลอดภยผานทางชนสวนของซอฟตแวรท intercepts datagrams การผานจากทมอย IP ทสแตคไปทลงคเลเยอรทองถน อนเตอรเฟซ ซอฟตแวรนจงจำาเปนทจะประมวลผลการรกษาความปลอดภยสำาหรบบรรดา

datagrams พวกเขาและมอปดเพอทลงคเลเยอร วธนสามารถใช อพเกรดระบบ IPsec สนบสนนโดยไมตองท IP ทกองขาวซอฟตแวรของตน จะเขยนใหม "ลกโปงในการ-ลวด" (BITW) ใช IPsec ในฮารดแวร Cryptographic โปรเซสเซอร Crypto โปรเซสเซอรทไดรบเองทอย IP; เมอใชสำาหรบแตละไพรพลทลกโปงในการกระทำา-ลวดมากมายเชนทดำาเนนการ บต, แตเมอเดยวกนโปรเซสเซอร IPsec ใหบรการทเปนเราเตอรหรอไฟรวอลล จะตองปฏบตตนเปนเกตเวยรกษาความปลอดภย-หมายความวาจะตองทำา IPsec โปรโตคอลการรกษาความปลอดภยในอโมงคโหมดใชวธนภายนอก Cryptographic ฮารดแวรเพอดำาเนนการรกษาความปลอดภยในการประมวลผล อปกรณมกเปน IP ทอปกรณทกระทำาเปนจดเรยงของเราเตอรหรอมากกวา อยางถกตอง, เกตเวยรกษาความปลอดภยสำาหรบทก IP ท datagrams จากทกระบบท sits เบองหลง มน เมออปกรณดงกลาวมการใชสำาหรบหนงโฮสต, การทำางานมากเชนบต วธแตสามารถดำาเนนการเพมเตมซบซอนเมอเดยว BITW อปกรณ ใชหนาจอมากกวาหนงระบบ ตวเลอกเหลานแตกตางกนมากขนในเงอนไขของการทพวกเขาจะเหมาะสมกวา อตนยเงอนไข แอปพลเคชนทจำาเปนตองมระดบการรกษาความปลอดภยอาจจะดกวา เสรฟกบฮารดแวรดำาเนนการ แอปพลเคชนททำางานบนระบบ ซง IPsec ใหมทสามารถใชเครอขาย stacks ไมสามารถใชไดอาจจะ

ใหบรการทดกวา โดยวธบต

CONCLUSIONความปลอดภยของเครอขายอาจเปนเรองเปนหนงสอหลายเลมและ chapters ภายใน เทคนคหนงสอเปนไอพ บทนใหกระชบความรเบองตนเกยวกบ IP ทปญหาดานความปลอดภยและความปลอดภยเปาหมายเรมตนกบนยามของทาทาย หน ผจดการการรกษาความปลอดภยและเครองมอทจำาหนาย IPsec ใหการตรวจสอบ และบรการผานการใชคยสาธารณะเขารหส, ลายเซนดจตอลและปลอดภย hashing เครองมอ; มนใหขอมลสวนบคคลและบรการผานการใชสาธารณะและลบ คยการเขารหสรวมทง ดานบนของเครองมอเหลาน Cryptographic แตตองเพมเตม IPsec โปรโตคอลการจดการความปลอดภยและการตรวจสอบการกระจายและการจดการคยการ เขารหส IPsec รวม Cryptographic เหลานและการรกษาความปลอดภยโปรโตคอลกบไอพ, ใชการรกษาความปลอดภยสมาคมการเชอมโยงกบแพคเกตไพรพลและคตวเลอก IP ท การรกษาความปลอดภยสวนหว (ESP และพงรเถด) สงแพคเกต IP ปลอดภย IPsec นนมกจะเชอมโยงกบ IPv6 การเนองจากขณะท IPsec สนบสนน IPv4 เปนตวเลอกในมน มทบงคบใชสำาหรบทก IPv6 การ-สามารถไพรพล แมวาบางอางอง "ความปลอดภย" เปนเหตผล เพอ IPv6 การชอบมากกวา IPv4 เพออนยงใหญองศาเดยวกน

ระดบการรกษาความปลอดภยหากเปนไปได IPsec ถกบงคบทก IPv4 nodes

บทท 7ความปลอดภยในระบบเครอขายไรสาย

7.1 บทนำาถงแมวาวทยไดมมาเกอบจะ 100 ป สวนมากนยมใชสายเปน

สอสญญาณ มากกวา 30 ปแลว คนสวนใหญใชโทรศพทไรสาย กบ

การไดรบอทธพลน ผใชโทรศพทไรสายและสอขาวสารทาทายอตสาหกรรมสอสาร แนนอนวาการสนทนาทจะมความเปนสวนตว

ในความคดปจจบนการสอสารทมความเปนสวนตวและมความแนนอนจะอยบนพนฐานหางหนสวนของโทรศพท สามารถควบคไปบนเสนทางของบรษท และ ทำาเนยบ ดวยเหตน เมอการโทรหายายอยบนคสายโทรศพท บรษททเกยวของสามารถแกปญหาการโทรบนสายได 1-4 แอดเคาต อยางคลายคลง ตงแตมคสายจากบาน บรษท ทมโทรศพทไมมใครสามารถแอบฟงไดโดยงาย สำาหรบคนสวนมาก ตวดกสญญาณ คอ ความคดทเขาใจยากทใครคนหนงเปนภาระถกรวมอยในกจกรรมผดกฎหมาย

การสอสารอยบนแชรสอสามารถเปนการสกดกนผใชใด ๆของ สอ เมอสอถกแชร ใครสกคนกบเขาถงทสอสามารถฟงทจะ หรอสงไปอยบนสอ ดวยเหตน การสอสารสวนตวจะไมยาวนาน ในแชร สอ การสอสารตองการไมคนหาเพยงอยางเดยวผประดษฐ ขณะททำาคสายเดยวของสายตอผใชงาน ในสวนทเพมเตม ผใชทงหมดของ เครอขายสามารถไดยนเขาคำาแนะนำาขอความใด ๆทผประดษฐสงเครอขายใหและสามารถสงคำาแนะนำาขอความกลบ ผมสวนรวมดวยของ

โทรศพทไมสามารถรความเปนสวนตวของพวกคนอนได นนคอขอตกลง (รปท 7.1) เมอสอถกแชร ความเปนสวนตวและการรบรองวาเปนของแทสญเสยนอกจากบาง วธถกตงไดมาอกครง การเขารหสลบ ใหวธทจะไดมาอก ความเปนสวนตวทมากเกนไปหนวยควบคมและการรบรองวาเปนของแท

ในอดต นนไดเปนความพยายามทจะควบคมความเปนสวนตวและการรบรองวาเปนของแท การผานเขารหสลบ ดวยเหตนมการผดพลาดไกลๆ ผออกแบบของ การบรการเกยวกบเซลลตนฉบบอยในรฐสหรฐอเมรกา การรบรองวาเปนของแทการเพมของ โทรศพท โทรศพทเคลอนทใชชนสวนการกำาหนดหมายเลข (NAM) และ

หมายเลขอเลกทรอนกสตอกน (ESN) NAM จะเปนโปรแกรมทสามารถอานหนวยความจำาไดเทานน สำาหรบการแทนทงายๆ เมอหมายเลขโทรศพทเปลยน

รปท 7.1 ความเปนสวนตวระบบโทรศพทเคลอนท

ESM จะเปนการเพมความตานทานในความวนวาย ของชนสวนทไมสามารถเปลยนไดโดยปราศจากการทำาลายของเซลลทเกยวกบโทรศพท ในแบบทดสอบ โรงงานมากมายไดเพม NAM และ ESM ในหมอแปลงเกบไฟกลบสมหนวยความจำา หรอไฟฟาสามารถลบหนวยความจำา โรงงานมการยายขอมลภายในโทรศพททผานการเขยนโปรแกรมตดตงภายนอก

ความคลายคลงของผออกแบบทสนนษฐานวาการสอสารทมความเปนสวนตวทมความถ 900 MHz จากเครองสแกนทสรางไดยากและราคาแพง เมอเครองเครองสแกนทมอยในสหรฐอเมรกา การประชมสอสารทมความเปนสวนตวแสดงในป 1986 และในป 1992 ยหอ FCC เปนสนคาและหตถกรรมนำาเขาของโทรศพททครอบคลมถงเครองสแกน ในแบบทดสอบ กฎหมายไมชวยเหลอ

ตงแตมหนงลานของเครองสแกนอยในความเปนอยวนน ยงกวานน การทดสอบอปกรณทสรางหรอซอนนเปนไปโดยงาย และเซลลมากทสด โทรศพทสามารถยายไปฝายซอมบำารงทดแลรกษาตางๆได โทรศพทสามารถแปลงเปนเครองแกนเซลลใดๆ การใหความเปนสวนตวรบรองความถกตองสำาหรบสถานโทรศพทเคลอนท การใชรหสลบในระบบคอสงจำาเปน บางทรหสลบตองการตดตอสอสารกบสถานโทรศพทเคลอนท และสถานหลก ความตองการอน ๆคอ อยบนฐานขอมลตงอยในเครอขายและอยบนคำาแนะนำาขอความแชรระหวางระบบ อยในกระบวนการของ แฮนดออฟเพอทจะใหการบรการสำาหรบหนวย การทองเทยว

ในบทนพวกเราสามารถตรวจสอบความตองการสำาหรบความเปนสวนตวและรองรบเครอขายไรสาย และเราบรการใหคำาปรกษาความเปนสวนตวกบเซลลการสอสาร (PCS) และสนบสนนความตองการเหลานน บทการปรกษาขน 4 ของความเปนเสยงสวนตว เราคาหาความตองการพนทสวนตวปองกนการโจรกรรม ความตองการระบบวทยขณะทยงมชวตอย ความตองการภายนอกเหมอนการเพมสถานโทรศพทเคลอนท และกฎหมายการปฏบตตาม

7.2 ความปลอดภยและความตองการความเปนสวนตวของระบบเครอขายไรสาย7.2.1 จดประสงคความปลอดภย

ความเทจสวนมากสงผลความเสยหายผใหบรการ สงเกตเหนความสำาคญของมนความเสยหายนนนอาจจะอยในขอตกลงของ

ไมสรางความเสยหายการเงนโดยตรง แตผลลพธในสญเสยลกคาและเพมการใช ของระบบกบไมมรายได

สรางความเสยหายการเงนโดยตรง ซงจะเสยเงนไปใหกบเครอขายอน การเพมคาโอเปอรเรเตอรเครอขายเชนคาธรรมเนยม อตราบรการ

ความเสยหายอาจเปนไดทางธรกจ ทลกคาขอเคลอนยายไปทอน ๆ การบรการ ผใหวาขาดแคลนความปลอดภย

ความไมสำาเรจจะถกกฎหมายและความตองการผจดระเบยบ เชนเงอนไขอนญาต หรอการออกกฎหมายการปองกนขอมล

จดประสงคของความปลอดภยสำาหรบระบบเครอขายไรสายมากทสด คอเพอทำาระบบความปลอดภยเหมอนเครอขายโทรศพทมหาชน การใชวทยสงผานสอ อนญาตจำานวนของอปสรรค จากการวางแผนอยบน การสงผาน มนถกอปสรรคทมาในไมชาวเคราะหทสวนออนแอทสดของ ระบบวทยทตงไว ขณะทสามารถถกสกดกนโดยงาย

ลกษณะเทคนคสำาหรบความปลอดภยเพยงเลกนอยของความตองการความปลอดภย อปสรรคจากโจรกรรมไดงาย เชน การเปดเผยของการไขรหส ระบบไมปลอดภย หรอ มการตดสนบน ความสมดลถกตองการทจะทำาใหแนใจวาความปลอดภยเหลานนนประมวลผลพบความตองการ ทเวลาพพากษาตองทำาใหราคาไมแพงทสด ของความปลอดภยในการวดขดจำากด

7.2.2 นยามของความเปนสวนตวเมอคนสวนมากคดของความเปนสวนตว พวกเขาคดวาไมใช

ของระดบ 2 และความเปนสวนตวทถกใชโดยผใช อยางไรกตาม ขณะทพวกเราอางถง 4 ระดบของความเปนสวนตวทตองพจารณา

ระดบ 0 :ไมม ไมมความเปนสวนตวชวยใหใครสกคนกบ ดจตอลสแกนสามารถดแลการเรยกรอง

ระดบ 1 : ปฏกรยาระบบเครอขายไรสาย ขณะทปรกษาแตเรวกวาคนสวนมากคด การสอสารระบบไรสายจะปลอดภย คนในอตสาหกรรมรสงนนทไมใชการกระทำาของทเปนอยกบการสอสารไรสายโดยปราศจากความร เพราะฉะนน การกระทำาทจะใชตวสายสงสญญาณ ตองแปลความแตกตางของ

ความตองการสำาหรบระบบเครอขายไรสาย กบระดบของความปลอดภย ชนด ของการสนทนาทจะเปนไดรบการคมครองกจประจำาวนทกวนการสนทนาของคนสวนมาก ชนดการสอสารเหลานจะเปนสวนตว โดยการโตเถยงทคนสวนมากจะไมตองการ และไดแสดงใหเหนโดยทวไปสำาหรบตวอยาง รายละเอยดของการคำานวณเมอเรว ๆ นหรอโปรแกรมยอยเกยวกบการรกษาอน ๆ สถานการณการเงนครอบครวใชบตรเครดต ตองการสำาหรบภาวะฉกเฉน (911) และการวางแผนของวนหยด ดวยเหตน บานจะเปนสงสำาคญ

ระดบ 2 :ความปลอดภยทางธรกจ ระดบนจะเปนประโยชนสำาหรบการสนทนาในสวนรวมดวย สามารถปรกษาใหคำาแนะนำาความเปนเจาของสำาหรบตวอยาง โตเถยงลกคา การรวมหลายบรษทเปนบรษทเดยวและสงทไดมา หรอการตกลงสญญากน ระบบรหสผานทอนญาตกจกรรมในอตสาหกรรม จะปลอดภยสำาหรบประมาณ 10–25 ป ถาเฉพาะการสนทนาถกปดกน ความพยายามทเหมอนจะเปนตองการปดกนการสนทนาอน ๆ

ระดบ 3 : ความปลอดภยทางทหารและรฐบาล ระดบนคอทเฉลย บคคลคดของเมอ การเขารหส ถกวเคราะห จะเปนกจกรรมทางการสอสารของทหารในประเทศและรฐบาล ตวแทนรฐบาลทจดสรรจะจำากดความความตองการ สำาหรบระดบน

7.2.3 ความตองการความเปนสวนตว อยในสวนทพวกเราปรกษาความตองการความเปนสวนตวของ

ระบบเครอขายไรสายของผใชโทรศพท รปท 7.2 เปนแผนผงระดบสงของระบบเครอขายไรสายทพนทแสดง การบกรกความเปนสวนตวการตกลงกนได ผใชความเปนสวนตวตองการระบบโทรศพทเคลอนทในพนท

ความเปนสวนตวของการเรยกรองคำาแนะนำาการตดตง ระหวางการตดตงทเรยกรองสถานโทรศพทเคลอนทตดตอเครอขาย คำาแนะนำาขอความบางอนนน ผใชหรอสถานโทรศพทเคลอนทสามารถสงหมายเลข หมายเลขบตรหรอชนดของความตองการการบรการ ระบบตองสงใหคำาแนะนำาทงหมดนในความปลอดภย

ความเปนสวนตวของการพด ระบบตอง เขารหส การพดการสอสารทงหมด เพอวาการบกรกไมสามารถดกสญญาณโดยการดกฟงอยบนคลนสญญาณบนอากาศ

ความเปนสวนตวของขอมล ระบบตอง เขารหส ผใชการสอสารทงหมด เพอวาการบกรกไมสามารถดกขอมลโดยการดกฟงอยบนคลนสญญาณบนอากาศ

ความเปนสวนตวของทตงของผใช ผใชจะไมสงคำาแนะนำาขอความนน การชวยใหใชไดทจะตงใจของผใชทตง ปกตวธทจะพบความตองการนคอเพอ เขารหสผใช ID 3 ระดบของการปองกน1. การดกฟงสญญาณวทย2. ไมไดรบอนญาตโดย นอกเหนอคำาแนะนำาทตงผใชตงอย

ในทตงผเยยมชมเครอขายลงทะเบยน (VLR)และลงทะเบยนทตงบาน (HLR)

3. เขาถงการรบอนญาตไมไดโดยคนเขาใจเหตการณดทคำาแนะนำาทตงผใชตงอยในเครอขาย ระดบน ยากทจะกระทำาลงไปใหสำาเรจ แตไมใชเปนไปไมได

ความเปนสวนตวของเอกลกษณผใช เมอการสลบของผใชกบเครอขาย ผใช ID จะสงในทางทไมเอกลกษณของผใชจะแสดงการปองกน การวเคราะหของพนฐานแบบอยางของผใชอยบนผใช ไอด

ความเปนสวนตวของการเปนแบบอยาง ไมมคำาแนะนำา ตองสงจากโทรศพทเคลอนทชวยใหใชไดเทานน ผฟงของสวนตดตอวทยทจะทำาการวเคราะหขอมลออกขอผใชโทรศพทเคลอนท ตรงตามคำาแนะนำาการวเคราะหการจราจรคอ

- หมายเลยการโทร- ความถของการใชของโทรศพทเคลอนท- บตรประจำาตวผเรยกรอง- ความเปนสวนตวของรายการการเงน

ถาผใชสงคำาแนะนำาบตรเครดตขามชองสญญาณใด ๆ ระบบตองปองกนขอมล ผใชขอวตถจากจดหมายทสงไปยงบานผานโทรศพททระบบเครอขายไรสาย ผใชขอเลอกหมายเลขบตรเครดตของพวกเขาผานโทรศพทดกวา ผใชขอเขาถงระบบตอบสนองธนาคาร ซงพวกเขาสงบญช ขอมลผานเสยงกำาลงใหสญญาณ ผใชขอเขาถงบตรการบการรการของการพดหรอใชเสยงการใหสญญาณสงหมายเลขบตร การสอสารเหลานทงหมดตองการสวนตวตงแตผใชสามารถสงขอความอยบนเสยงชองสญญาณใด ๆ หรอขอมลการควบคมระบบตองเขารหสทงหมด ทกชองสญญาณ

รปท 7.2 ความตองการความเปนสวนบคคล

7.2.4 ความตองการปองกนการโจรกรรม ระบบโอเปอรเรเตอรอาจหรออาจจะดแลรกษาถาการเรยกรอง

ถกยายจากโทรศพทเคลอนททขโมยไปจากสถาน เทากบการเรยกรองคอถกแก เจาของของสถานโทรศพทเคลอนท สถานปลายทางโทรศพทเคลอนททออกแบบ จะลดการขโมยของสถานโทรศพทเคลอนทโดยการทำาใชทรพยากรใหเปนไปไดยาก แมแต ถาสถานโทรศพทเคลอนททถกลงทะเบยนใหมจะถก กฎหมาย การใชทรพยากรของสถานโทรศพทเคลอนททขโมยจะหยดลง สถานโทรศพทเคลอนทออกแบบจะไดลดการขโมย การบรการโดยการทำาทรพยากรทางดานเดยวของสถานโทรศพทเคลอนท ความตองการบรรลผลหรอทำาใหสำาเรจการลดลงของการโจรกรรมคอ

ออกแบบการปองการการเลยนแบบ ในปจจบนระบบเครอขายไรสายกำาลงเลยนแบบสถานโทรศพทเคลอนทถอเปนปญหารายแรง ตองทำาการลดหรอเอาออกของสถานของปลอมจากของเลยนแบบ การลดของปลอมกระทำาใหสถาน

โทรศพทเคลอนทมอนเดยวสำาเรจ คำาแนะนำาตองไมเปนการตกลงกนไดโดยใด ๆทตาม1. บนอากาศ : ใครคนหนงฟงชองสญญาณวทยจะไม

สามารถทจะมงมนเกยวกบสถานโทรศพท เคลอนทและแลวโปรแกรมทมนเขาไปใน สถานโทรศพทเคลอนททแตกตางกน

2. จากเครอขาย:ฐานขอมลอยในเครอขายตองปลอดภย ไมใหบคคลใดๆผานกอนไดรบอนญาตจะสามารถบรรลเปาหมายฐานขอมล เหลานน

3. จากเครอขายดกวาทม :ระบบจะตองการตดตอซงกนและกนเพอทจะพสจน วตถประสงค ของการการเดนทางของระบบสถานโทรศพทเคลอนท โอเปอรเรเตอรสามารถใชคำาแนะนำาความปลอดภยเกยวกบการเดนทางของสถานโทรศพทเคลอนททจะทำาเลยนแบบสถานโทรศพทเคลอนท

4. แผนการสอสารถกใชระหวางระบบทจะทำาใหถกตอง ตองการเดนทางไป สถานโทรศพทเคลอนททจะออกแบบเพอวาการขโมย โดยระบบปลอมไมมความปลอดภยกบการตกลงกนของสถานโทรศพทเคลอนท

5. ดวยเหตน คำาแนะนำาขอความใด ๆผานระบบความปลอดภย การตรวจสอบการการเดนทางไปสถานโทรศพทเคลอนทตองใหคำาแนะนำาทจะแสดงวาจรงหรอแทสถานโทรศพทเคลอนท ทเดนทางไป มนตองซอตรงดวยได วามของเลยนแบบของสถานโทรศพทเคลอนท

6. จากผใชของเลยนแบบ สถานโทรศพทเคลอนทของตวเองของพวกเขา:ผใชสามารถตรวจสอบ ความเทจระบบ การทผใชหลายรายสามารถใชบญช 1 อน โดยเลยนแบบของสถานโทรศพทเคลอนท ความตองการสำาหรบการลด

หรอการเอาความเทจออกนคอ เหมอนเปนการลดซอมแซมและความเทจการตดตงทอางถง

การตดตงและแกไขการโกง การโจรกรรมของการบรการสามารถปรากฏเมอการบรการ ถกตดตงหรอเมอสถานปลายทางถกแกไข หลายสถานโทรศพทเคลอนทสามารถ โปรแกรม คอการทเหมอนเลยนแบบการเขารหส ระบบตองออกแบบเพอทวาการตดตงและซอมแซมเลยนแบบ ถกลดลงหรอเอาออก

ผใชมไอดอนเดยว มากกวาหนงคน ขอใชงานเอง มนคอสงทจำาเปนในการคนหาบคคลทถกทำากบบญชอน ๆ เพราะฉะนน ผใชของระบบตองระบบตวตนอยางเดยวในระบบเทานน

สถานโทรศพทเคลอนทมไอดอนเดยว เมอคำาแนะนำาขอความความปลอดภยทงหมดถกบรรจในชนสวน(บตรสมารตการด) การระบตวตนของผใชแยกจากการระบของสถานโทรศพทเคลอนทการขโมยสถานโทรศพทเคลอนทสามารถเปนไปไดยากสำาหรบสถานโทรศพทเคลอนท การบรรลการบรการโดยปราศจากการซอใหม(ราคาเตม)เพราะฉะนน สถานโทรศพทเคลอนทจะมคำาแนะนำามอนเดยวทภายในจะลดลงหรอเอาออกอาจเปนไดสำาหรบการขโมยทลงทะเบยนกบผใชใหม

7.2.5 ความตองการของระบบวทยเมอการเขารหสของระบบถกออกแบบ มนตองนำาไปใชไดใน

สภาพแวดลอมของสญญาณวทยทถกแสดงลกษณะโดยบตมความผดพลาดทำาใหเกด

ความคลงของคลนสะทอนชวขณะและความรอนเสยงรบกวน ลกษณะของชองสญญาณวทย มผลตอตวเลอกของการเขารหส วธคด จะใหสญญาณวทยใชหลายเสนทาง

ตางๆกนจากสถานโทรศพทเคลอนททสถานพนฐาน สงผลกระทบหลายเสนทางทเปนตวหลก และทำาใหเกดขอผดพลาดคอ การความคลงชวขณะ ถงแมวาระบบอาจจะแทรกแซง เมอปจจยทจำากดอยบนการชะลาง ความรอน เสยงรบกวน ของ การเขารหส รวมถงทงของชองสญญาณเหลานลกษณะ

เหตขดของ ระบบโทรศพทเคลอนทขอการแชรชวงอณหภมวทยอยางอกษรยอดวย ผใชอน ๆ แผนการเปลยนเสยงและ การเขารหสระบบตองเปนการออกแบบเพอวา แทรกแซง กบแชรผใชของชวงอณหภมจะไมมระบบความปลอดภย

ความแออด ถงแมวาโดยปกตคดเกยวกบการสอสารทางทหาร ระบบพลเรอนเบยดเสยด ขณะทระบบเครอขายไรสายในการสอสารจะไดอยทกหนทกแหง การเบยดเสยดของการบรการจะปราศจากความปลอดภยของระบบ เพราะฉะนน การเขารหสของระบบตองทำางานอยในหนาของการเบยดเสยดขอมล

การสนบสนนของการสงสญญาณพรอมกน เมอการโทรหาพรอมๆกนปรากฏทอนๆสถานวทยทเหมอนๆกนหรอปรบระบบโทรศพทเคลอนทของการเขารหส ระบบตองรกษาความทแตกตางกน

7.2.6 ความตองการไลฟไทมของระบบมนไดคะเนวาสงนนการใชพลงงานสองครงทก 18 เดอน วธ

คด นนคอวนนปลอดภยอาจจะเสยงายใน 5 ถง 10 ป ตงแตระบบไดออกแบบวนนตองงานเปนเวลาหลายปมากมายหลงจากการออกแบบ ความเหมาะสมตองการวา คอโปรแกรมยอยทำาใชงานนอยทสด 20 ปใชไหม วธคดตองมขอกำาหนดทเปลยนใหมในพนทนนๆ

7.2.7 ความตองการทางกายภาพ

ระบบการเขารหสถกใชอยในสถานโทรศพทเคลอนทในการใชการสงแวดลอมของ ปรมาณผลตผลตภณฑผบรโภค เพราะฉะนน ระบบเขารหสตองพบความตองการคอ

การผลตจำานวนมาก มนสามารถผลตในปรมาณ(หนงลานหนวยตอป)

การสงออกและนำาเขา วธคดความปลอดภยตองใชสตปญญาของการสงออกและนำาเขาม สองปญหาถกแกไขกบสงออกและ การนำาเขาคอ1. มนสามารถผลตทใดกไดในโลก2. มนสามารถดำาเนนการอยภายนอกสหรฐอเมรกากได

ขณะททางเลอก ถาการนำาเขา/สงออกอนญาต จะไมสามารถบรรลการจำากดตามทตองการสมคร คอ- ไมใชเพยงสหรฐอเมรกาเทานน การผลตหรอมการผลต

เพยง 2 ระยะ- สถานโทรศพทเคลอนททงหมดตองทำาอยใน

สหรฐอเมรกาหรอสถานโทรศพทเคลอนททงหมดการทำาอยภายนอกสหรฐอเมรกาจะมการชมนมเลกๆในสหรฐอเมรกา

- สถานโทรศพทเคลอนททงหมดตองอยบนการออกกฎหมายของสหรฐอเมรกา

พนฐานความตองการ ระบบการเขารหสลบตองมจำานวนนอยทสด บนความตองการสถานโทรศพทเคลอนท ทจะกลาวตอไปน- ขนาด- นำาหนก- พลงงานหนวยความจำา- การสญเสยความรอน- ความเรวของตวประมวลผล

- ความเชอถอได- ราคา

ราคาตำาของเครองมอระดบ 1 เครองมอระดบ 1 จะเปนการอางองระบบโทรศพทเคลอนทสวนมาก เพราะฉะนน เครองมอระดบ 1 ตองการราคาตำา ผออกแบบตองการแกปญหาราคาตำาโดยเครองมอนนสามารถทำาไดทงอยในซอฟแวรหรออยในอปกรณราคาตำา การแกปญหาดงดดใจ สถานโทรศพทเคลอนทไดตวสำารองมาอานหนวยความจำาเพยงอยางเดยว(หนวยความจำาแกไขไมได) และศนยกลางการประมวลผลหนวย(CPU)

7.2.8 ความตองการการบงคบใชตามกฎหมายเมอศาลถกสงตองอยในสหรฐอเมรกา โทรศพทปจจบน (ไมใช

ทงสายหรอไรสาย ) โดยกฎหมายบบบงคบความตองการทอางถงความเปนสวนตวและการรบรองวาเปนของแทของเครอขายไรสาย การสอสารโทรศพทเคลอนททำามากกวาไมงายนะทจะทำาใหสำาเรจ

รปท 7.3 ความตองการในการบงคบใชกฎ

กฎหมายบบบงคบชมรมสถานโทรศพทเคลอนทหลงจากทศาลสง เมอคำาสงมการใหโทรศพทเคลอนทหลายเครองของระบบโอเปอรเรเตอรสามารถพบความตองการของคำาสง วธใด ๆถกใชตองไมมความปลอดภยของระบบ รปท 7.3 การแสดงเปนไปได เขาใกลทจะเรยกความสามารถททำาใหอยบนอากาศหรอทศนยกลางการเปลยนแปลง

การโตเถยงนสนนษฐานวาสวนวทยเทานนททำาการเชอมทาง เขารหสและปรากฏในการลบลางในสวนทสงของเครอขายจนหมด ถาการเขารหสถกใช หมายถง ตองพจารณาขอความตงแตการไมเคยปรากฏการลบลางยกเวนทจบสดทาย

สายสญญาณบนอากาศเมอสายสญญาณทำาบนอากาศ สงทสายสญญาณตองการคอ

ไดรฟทในเซลลทซงการเรยกสถานพนฐานอยางศนยกลางทคนหาทตง (BS) การรบการแทรกแซง จากสถานโทรศพทเคลอนทอยในเซลลมากมายหรออาจจะไมสามารถทจะรบสถานโทรศพทเคลอนทพลงตำาทงหมดได

ในระบบโทรศพทเคลอนทเซลลสวนใหญ สายสญญาณสถานสามารถขยายออกเปนหนากระดานในแตละเซลลแตในระบบเซลลเลก สายสญญาณจำานวนมากจะสง เพราะฉะนน สายสญญาณตองการแกทเซลลทถกเรยกและถกยาย

หลงจากทเซลลแก มนความตองการทจะปดสถาน โทรศพทเคลอนท จะมสายอากาศสงทสด 6 ถง 10 ฟต ตอสกบสายอากาศ BS ทมความสง 25 - 100 ฟตหรอมากกวา ดวยเหตนตอง ปดสถานโทรศพทเคลอนทกวารศมเซลล จะเรวสำาหรบสายสญญาณคอ

นน ถาสถานโทรศพทเคลอนทอยในเสนของภาพสญญาณแลวสามารถรบการสงผานการแทรกแซงของสถานโทรศพทเคลอนท

ถาสายสญญาณถกดกจบแลวการสงผานของสถานโทรศพทเคลอนทตองถอดรหสกตามคอความเปนไปได

ไมมการเขารหส นเขาใกลการทำาสายงายทสด ถาไมเขารหสจะถกใช การเรยกในคลนอากาศ ดวยเหตน กฎหมายบบบงคบผบรหาร ใหสามารถฟงและบนทกการเรยกได และดงนนใครสกคนสามารถกทำาได

ความคดทแตกแยก ถาวธคดออนแอลงกฎหมายบบบงคบตวแทนสามารถลบความคดทจะทำาดงนนโดยการจดสรรทโชคราย การใหโตะทำางานมเครองคอมพวเตอรเปนของสวนบคคล วธคดใด ๆทสามารถโดยงายลบลางโดยกฎหมายทบบบงคบ จะเปนไปอยางรวดเรวโดยการลบลางของใครสกคนหรอไมกบางสงบางอยาง

การเขารหสมความหนาแนน การเขารหสมความหนาแนนทำาใหมนยาก ถาไมใชเปนการดกจบสายสญญาณทจะถอดรหสการสงผานหนงวธท วธทำานลำาบากคอใชกญแจไขระบบทซงทงหมดของการเขารหสจะมอยทตวแทน กบการทศาลสงคำาแนะนำาสามารถบรรลโดยกฎหมายจะบบบงคบ ตวแทนเพอวาพวกเขาสามารถฟงและบนทกการโทรหา

ดกจบสายสญญาณทสวตซตงแตโทรศพทเคลอนททงหมดโทรหา ตองทำาใหการหนผาน

ศนยกลางเปลยนการโทรหาเหลานนวาสงนนใช วทยเชอมเพยงอยางเดยวการเขารหส สามารถเปนตวดกจบทศนยกลางเปลยนอยภายใตศาลสง นคอวธทชอบสำาหรบพลงตำา เครอขายไรสาย วธนทผใชและผใหระบบไดจดสรรระดบของความปลอดภยในเครอขายไรสาย ของสวนการโทรหา

7.3 ลกษณะความตองการสำาหรบความปลอดภยเครอขายไรสายบนระบบการสอสารสำาหรบการสอสารเครอขายไรสายจะเปนความปลอดภยในลกษณะทมอยกตาม

การรบรองวาเปนผใชจรง การพสจนวาผใชนนคอพวกทจะใชการเรยกรอง

การรบรองวาเปนขอมลจรง การประกอบดวยขอมลจรงและการรบรองวาเปนของแท ขอมลหลกกบผรบความขอมลจรงสามารถแนใจวาขอมลนนไมมการเปลยนแปลงการรบรองวาเปนขอมลจรง พสจนไดวา ทผรบทรฐสงไดผลตขอมลขนจรง

ขอมลหลก หมายถง ขอมลการเขารหสเพอวามนไม สามารถปดไดขณะทอยในการสงผาน

ไมมการยกเลก ตรงกบบรการความปลอดภยตอตานการปฏเสธโดยไมใชทงงานสงสรรคของการสรางหรอการยอมรบวาจรงของขอความ

การระบตวตน คอความสามารถความมงมนไมวาทำาสงทตนแสดงวามอยจรงหรอแททจะทำาใหสำาเรจ

ตรวจสอบบญช ประวตศาสตรของเหตการณคอสามารถเปนตวถกใชความมงมนไมวาอะไรกตามแลวผด ถาดงนน คอ เมอมนไปผดและอะไรทมนทำา

การเขาถงหนวยควบคม การชวยใหใชไดสงทมตวตนเพยงอยางเดยวใหมสทธทจะเขาถงทรพยากร

ใชประโยชนได การทำาใหแนใจทรพยากรอยางนนหรอการสอสารทไมถกปองกนจากเขาถงหรอการสงผานโดยตวทำาลายระบบ

การปองกนตอตานการปฏเสธของการบรการ เปนการโจมตความปลอดภย กบการบรการของการใชประโยชนได

7.4 วธของการใหความเปนสวนตวและความปลอดภยอยในระบบเครอขายไรสาย

อเมรกนเหนอและยโรประบบเซลลลารและพซสนบสนนโปรโตคอลทมการสอสารบนอากาศมดงน

Advanced Mobile Phone System (AMPS) IS-54 / IS-136 TDMA โพรโตคอล IS-95 CDMA CDMA2000 ระบบครอบคลมทวการสอสารโทรศพทเคลอนท(GSM) ความกวาง ระบบ CDMA (WCDMA)

การตดขามโพรโตคอลเหลาน มความปลอดภย 4 อยาง สรางเปนรปขนไดวา สงนนไดถกใชสำาหรบเซลลลารโฟน/พซโฟน ในอเมรกาและยโรป

1.MIN/ESN ตนฉบบ AMPS ถกใชโทรศพทเคลอนทตวเลข 10 หลก เครอง ระบหมายเลข (MIN) และ 32 บต ESN ขอมลทงหมดสงมาลบลางขอความ ขอมลถกแชรระหวางระบบกบความไมถกตอง MINS ,ESN ,และคของ MIN/ESN เมอสถานโทรศพทเคลอนท (MS)เขาไปในระบบแรก บญชรายชอถกตรวจสอบและแลวขอความ สงระบบใหถกตอง คของ MIN/ESN การสอสารสงผานระบบให 7 สญญาณ(SS 7)ใช โพรโตคอล ASNI IS-41

ในเรองการปรบปรงทนเขาใกล ระบบบางระบบตองการผใชอยางเดยว การเขารหสสวนตวกอนการยายประโยชนสำาคญของความสวนบคคล หมายเลขเอกลกษณสวนตว คอวา มนสามารถเปนอยในเครอขายเมอมนถกตกลงกนได และผใชสามารถดำาเนนตอไปจะมหมายเลขโทรศพททเหมอนกน โทรศพทเกยวกบเซลลคอของเลยนแบบตองมหมายเลขโทรศพทของพวกเขา(MIN) ในการหยดการใชของปลอม

2.การแชรขอมลลบ (SSD) TDMA และ CDMA ระบบอยในสหรฐอเมรกาใช SSD ตงอยในเครอขายและโทรศพทเคลอนทบรการประชมเวลาไขความลบถกตงอยในโทรศพทและเครอขาย AMPS IS-95 CDMA IS54 / IS-136 TDMA และ CDMA2000 สนบสนน SSD ทงหมด การสอสารสงผาน SS 7 ใช โพรโตคอล ANSI IS-41

สถานโทรศพทเคลอนททงหมดถกกำาหนดโดย ESN ตอนเวลาของการผลตพวกเขายงกำาหนดผลงชอโทรศพทเคลอนทนานาชาตตวเลข 15 หลก คน ประสงควา(IMSI) คอเครอขายอนเดยวและขอมลอน ๆตอนเวลาของการบรการการตดตง เมอ MS ถกเปด มนตองมบญชรายชอกบระบบ VLR เมอมนลงทะเบยน มนสง IMSI และขอมลอน ๆทเครอขายในระบบตาราง HLR สำาหรบขอมลความปลอดภยและการบรการตรวจสอบขอมลสวนตว VLR แลวกำาหนด ชวคราว ผลงชอโทรศพทเคลอนท ระบ (TMSI)ท MS ใช TMSI เขาถงระบบนน TMSI ใหสญเสยการสอสาร MS และเครอขายระบความรของ MS กบการให TMSI เขาไปในระบบใหมสวนตดตออากาศบางอยางใช TMSI ทจะใชตารางเกาแกของ VLR และ แลวกำาหนด TMSI ใหม สวนตดตออากาศอน ๆตองการวาสงนน MS สง IMSI และแลวกำาหนด TMSI ใหม

ในแตละเวลา MS สถานทหรอรบการเรยกตวนบ (CHCNT) คอ การเพมจำานวนผลกำาไร ตวนบถกใชสำาหรบการเลยนแบบ การสบหาตงแตการเลยนแบบ จะไมมประวตศาสตรทจะเรยกทกอยางทกฎหมายของโทรศพท

3.หนงในสามหลกพนฐานของความปลอดภย GSM ใชวธคดดวยตวเองและมนไมแชรความลบระหวางเกยวกบเซลลหรอ ระบบ PCS มนใชสญลกษณพนฐาน แผนการรบรองวา

เปนของแท เมอ MS เขาไปในระบบ คอ การสงระบบใหกบการทขอรองสามขน( 3 ถง 5 โดยชนด) ตอบสนองความทาทายและความเปนสวนตวจากความทาทายในแตละสงนนหรอขนสาม หลงจากขนสามทงหมดถกใชขนระบบตองสงขอความใหมทระบบทจะไดชดอน ๆ การสอสารใช CCITT SS7 และ GSM สวนของแอปพลเคชนโทรศพทเคลอนท(แผนท)

ในแตละโอเปอรเรเตอรระบบสามารถเลอกวธการรบรองวาเปนของแทดวยตวเอง MS และ HLR สนบสนนในแตละวธทเหมอนและมขอมลทวไป MS สงการลงทะเบยน แลวเครอขายมอนเดยว MS ทาทายการตอบสนอง และสงขอความกลบทเครอขาย VLR บญชรายชอของสามขน เครอขายเปรยบเทยบกบการตอบสนองทมนรบจาก MS ถาตอบสนองจบค MS จะถกลงทะเบยนกบเครอขาย เพยงถกใช

4.พลบบลคคย ระบบกญแจเปรยบเหมอนทลอคและการรวมเขาดวยกน วธคดอยบนการเขารหส 2 หนวยการผานมาซงกนและกนแตไมนำามาจากทอน ๆระบบไมตองการการนาคมการสอสารทระบบจะทำาใหถกตอง MS การสอสารยงตองการทำาใหถกตอง และไดโครงรางผใช

7.5 ความปลอดภยเครอขายไรสายและมาตรฐานมาตรฐานและเทคโนโลยสถาบนแหงชาต (NIST) หวงวา

อนาคตนน IEEE 802.11 (และเทคโนโลยเครอขายไรสายอน ๆ) ผลตภณฑจะเสนอขอมลพนฐาน advanced encryption standard (AES) เชอมการเขารหสระดบบรการวาสงนนคอการทำาใหถกตองอยใตคำาแนะนำาของสหรฐอเมรกาวาการประมวลผล

มาตรฐาน (FIPS) 140-2 เหลานทำาใหทเลาลงไปและเปนภาระมากทสดเกยวกบเครอขายไรสายหรอเครอขายไรสายโจมต

IEEE 802.11 มาตรฐานของ WLAN ความปลอดภยขอมลในการใชคอขอกำาหนดเพมเตมทำางานความเปนสวนตว (WEP) การเขารหสถกจำาหนายระหวางสถานและไมอยบนพนฐาน ไมมการจดการถกเจาะจงการรบรองวาเปนของแท ถกกระทำาโดยการกำาหนดชดของบรการทขยาย ID (ESSID)ทจะเขาถง เครอขายและโดยใช ESSID ในการตอบสนองความทาทาย แผนการรบรองวาเปนของแท WEP ถกแสดงวาเครองหลกมความปลอดภยจากการออนแอสญญาณไรสายไดรบการคมครองและเขาถง (WEP) ถกแนะนำาโดย สญญาณไรสายเปนการแกปญหาระหวางกลางทจะมความไมปลอดภย WEP เพมสวนยอยของ IEEE 802.11 I

ระบบของยโรปและอเมรกาเหนอ เกอบจะทงหมด การสงระหวางเครอขายคอการเขารหส และขอความทไวตอความรสกไมถกสงไปบนชองสญญาณวทย

7.6 ความปลอดภยใน IEEE 802.11 IEEE 802.11 สญญาณเครอขายไรสายมพนทปลอดภยท

อยมาตรฐานกบ WEP โพรโตคอล เหตผลนอยางงายและถกความปลอดภยออนแอนอยลงของ IEEE 802.11i ดวยความรเหมอนสญญาณไรสายไดรบการคมครองถง 2 (WPA 2) คอโพรโตคอลความปลอดภยทปรบปรงสำาหรบ IEEE 802.11 IEEE 802.11i รวมถงการเขารหสยากกวา การรบรองวาเปนของแท และยทธศาสตรการจดการทยาวนาน ตรงไปยง ขอมลรบรองระบบ ความปลอดภย

การรกษาความลบขอมลใหม โพรโตคอลใน 802.11i เปนความซอสตยทางโลก โพรโตคอล (TKIP) และโหมดตวนบ/เปนขอความของแท โพรโตคอลรหส (CCMP) 802.11i ไดใชระบบการแจกจาย 802.1X ระบบทจะควบคมเขาไปยงเครอขาย เพราะวา 802.11 หนงตอหนง และกระจายเสยง การจราจรอยางทแตกตาง ในแตละการจราจรมภาระความปลอดภยทแตกตาง และตกลงใช 802.11i กนในกานประมวลผลถกการรกษา โพรโตคอลและระบบ สำาหรบการจราจรในแตลกษณะใน 802.11i รวมถงระบบยอยและการยนยนตวตน

TKIP คอการรกษาขอมลของ โพรโตคอล ซงเปลยนความปลอดภยของผลตภณฑ WEP ซง WEP อยทามกลาง การบกรกหลายดาน จงขาดแคลนความซอสตยทอาจจะดานรอบดานของรหสและขอมลทไมปลอดภย การรกษาขอมลของ โพรโตคอล รหสและความซอสตยของขอความ การชวยใหใชอปกรณทจะแสดงวาจรงหรอแทนนกำาลงมาจากการเรยกรองขอมล การรบรองวาเปนของแทอยางนสำาคญอยในระบบเครอขายไรสายทซงเกดปญหาโดยงาย TKIP ใชหนาทโจมตใหออนแอ การผสมหนาทสรางตอเฟรมทจะหลกเลยง WEP ทออนแอ

CCMP คอการรกษาขอมลของ โพรโตคอลทจะควบคมการรบรองวาเปนของแทเชนเดยวกบการเขารหส สำาหรบ การรกษาขอมลของ CCMP ใช AES อยในโหมดตวนบ สำาหรบการรบรองวาเปนของแทและความซอสตย ของ CCMP ใชการรบรองวาเปนของแทของขอความของเลขศนย รหส( CBC MAC ) ใน 802.11i CCMP ใช 128 หนวย ขนาดกลองคอ 128 บต CBC MAC ขนาดคอ 8 ออคเตท และขนาดเวลาชวขณะหนงคอบต 48 บต มขนาด 2 ไบต ของ 802.11 บน CBC MAC เวลาชวขณะ 802.11 ทำาบน CCMP 16 ใหญกวา การไมถอดรหส 802.11

ถงแมวา จะมตำาหนวาไมใชการแลกเปลยนสำาหรบการเพมความปลอดภย

CCMP ปกปองพนทบางพนททไมใชการเขารหส สวนของเฟรม 802.11 เฟรมทไดรบการคมครองรวาเปนการรบรองวาเปนของแทของขอมล (AAD) AAD รวมถงขอมลเลกๆและปลายทางและการปกปองตอตานการโจมตซำาๆ ของปลายทางทแตกตางกน 802.1X ใหเตรยม เฟรมเวรค เพอทจะแสดงวาจรงหรอแทและใหสทธอปกรณทกำาลงเชอมตอกบเครอขาย ใหปองกนการเขาถงทของเครอขายจนกระทงอปกรณผานการรบรองวาเปนของแท 802.1X ไดให เฟรมเวรค สงขอความไประหวางการระบตวตน และ เครองปลายทาง สำาหรบ 802.11i ทเขาถงจะใช บทบาทของ การระบตวตน และบทบาทบตรของเครองปลายทาง เครองปลายทางจะแสดงการวาจรงหรอแทกบเครองเซฟเวอรการรบรองวาเปนของแทผาน การระบตวตน ใน 802.1X การระบตวตน ทำาใหปฏบตตามการรบรองวาเปนของแท การรบรองวาเปนของแททหางไกลในผใช การบรการโพรโตคอลพบสวน 7.9 โดยบางชนดถกใชระหวาง การะบตวตนและเครองเซฟเวอรการรบรองวาเปนของแท เครองเซฟเวอรการรบรองวาเปนของแทครงหนงลงความเหนการรบรองวาเปนของแท กบ เครองปลายทาง เครองเซฟเวอรการรบรองวาเปนของแทบอกวาการระบตวตนของ การรบรองวาเปนของแทและผานตงสงของทการระบตวตนนนสมบรณ เครองปลายทางและการระบตวตนตงแชร สงของผานโพรโตคอลเหนอกวาแลนเปนของแทถาแลกเปลยนกน ถาแลกเปลยนทงหมดไดสมบรณการระบตวตน อนญาตการเจรจาถง แบบแผนผานการควบคม พอรต การใหเครองลกขายเขาถงทเครอขาย

802.11i คย EAPOL แลกเปลยนจำานวนสงของและมลำาดบชน สงของแรกเรมเขาไปมประโยชนของลำาดบชน 2 อยาง เปรยบเทยบ ลำาดบชนและลำาดบชนกลม ใน 802.11i ลกษณะเหลาน

เปนการแลกเปลยนถกอางองทจะเปนทาง 4 ทาง แฮนดเชคย และกลม แฮนดเชคย ทาง 4 ทาง แฮนดเชคย ทำาหลายสงหลายอยาง

การยนยนการเปรยบเทยบ (PMK) ระหวางเครองปลายทางและการระบตวตน

การตงคาทถกใชโดยการรกษาขอมล ของ โพรโตคอล การแสดงวาจรงหรอแทตวแปรความปลอดภยทางดานลบ การกระทำาอนดบหนง ของกลม แฮนดเชคย การใหสงของทจะเพมของกลม แฮนดเชคย

เครองลกขายของเครอขายไรสายเดนทางไปกลบระดบส ระหวางการเขาถงจดบอยน สงผลกระทบอยบนการชำาระหนระบบยอย ดานลบลดการโหลดอยบน เครองเซฟเวอรการรบรองวาเปนของแทและลดเวลาตองการไดเชอมตอทเครอขายพนฐานความคดเหนขางหลงระบบยอยสำาหรบเครองลกขายและการเขาถงจด สมาคมใหความปลอดภยกบการเกบไวเมอเครองลกขายออกไปจากจดทเขาถง เมอเครองลกขายไปกลบทจดความปลอดภยสามารถเรมตนใหม

การระบตวตน ชวยใหใชไดกบเครองลกขายทจะตง PMK สมาคมความปลอดภยถงการเขาถงจดกบเครองลกขายอยางไหนได ไมเกยวของกบการระบตวตนการใหทางทจะตง PMK สมาคมความปลอดภยกอนเครองลกขายทเกยวของกบประโยชนคอวาเครองลกขายลดเวลาวา มนถกหยดการเชอมตอจากเครอขายการระบตวตนมขดจำากด เครองลกขายกระทำาการระบตวตนเพมการโหลดทเครองเซฟเวอรการระบตวตนดวยตงแต การระบตวตนท IEEE 802 มนไมไดงาน ไอพ ซบเนต

7.7 การรกษาความปลอดภยในอเมรกาเหนอระบบเซลลลาร/PCS

ANSI-41 ลกษณะการรบรองวาเปนของแท เสรภาพ ของโพรโตคอลของสวนทตดตออากาศการถกใชเขาถงเครอขาย และผ

ลงชอไมเคยรวมอยดวยอยในกระบวนการการเอาออกมาอยางสมบรณ ของการรบรองวาเปนของแทปรากฏเมอมนสามารถเปนแสดงวาสงนน MS และเครอขายครอบครองผลลพธเหมอนกนทกอยางในทง MS และเครอขาย ศนยการรบรองวาเปนของแท(AC)ฟงกชนของสงทมตวตนอยในเครอขายรบผดชอบสำาหรบการกระทำาการคำานวณอยางน ถงแมวา การใชสำาหรบระบบ (ตวอยางเชน The VLR) ใหความรบผดชอบทแนใจ การคำานวณการรบรองวาเปนของแทคอพนฐานอยบนชดของวธคด สภาพการณตกหลนไมซบซอน การรบรองวาเปนของแทเกยวกบเซลลและการเขารหสเสยง

การรบรองวาเปนของแทประมวลผลและวธคดคอพนฐานอยบนการตาม 2 หมายเลขความลบ คอ

1. การรบรองวาเปนของแท (A-key) (64 บต) 2. แชรขอมลความลบ (SSD) (128 บต)(A-key) เปนหมายเลขความลบ 64 บตคอ คยทถกใชอยาง

ถาวรโดยการรบรองวาเปนของแท การคำานวณทงใน MC และ AC คยถาวรถกตดตงเขาไปใน MS และคอถกอยางปลอดภยท AC อยในเครอขายเมอการลงนามขางทายใหม ถกบรรล

ครงหนงท A-key ถกตดตงใน MS มนจะไมแสดงหรอสามารถคน MS และ AC เปนเพยงฟงชนเทานน สงทมตวตนเคยระวง มนคอ จะไมเคยสงไปในอากาศหรอผานระหวางระบบ หนาทหลกของ A-key เหมอนตวแปรถกใชอยในการคำานวณทจะกำาเนด SSD

การนบตวแปร 6 บต ตวทเจตนาใหความปลอดภยเพมเตมในกรณท A-key หรอ SSD ตกลงกนได คาปจจบนของการนบถกรกษาโดยทง MS และผควบคมการรบรองวาเปนของแท การยอมรบการนบโดยทวไปเปน เหมอนกนทงนน ขอไมแนนอนเนองดวยวทยเสมอ ปญหาการสงผานหรอความไมสำาเรจระบบอยในเครอขาย ถาการยอมรบการนบแตกตางโดยระยะพอสมควรหรออยางบอย AC ขอสนนษฐานสงนน วา เงอนไขปลอมมอยและใช แกไข

การกระทำา บนทกทการนบ ผดประเภท การสบหาไมแสดงขนถงสดทายวาสงนน MS การเขาถงผลกระทบของระบบ บตรปลอมเทานนวา เลยนแบบ ของทมอย

7.7.1 การปรบปรงความลบของการแชรขอมลSSD เปนหมายเลขความลบ 128 บตอยางสงจำาเปนใหเหลอ

ไวถกใชโดย การคำานวณการรบรองวาเปนของแทในทง MS และ AC SSD ขอเปน การแชรกบระบบทใชสำาหรบผานจำานวนของ ANSI-41 ขอความ SSD คอผทมากกวา คา มนสามารถดดแปลง โดยเครอขายตอนเวลาใดๆและเครอขาย สามารถสง MS เพอทจะเรมคาใหม

SSD ถกการคำานวณใช A-key ESN และการสมหมายเลขแชรระหวาง MS และเครอขาย SSD การคำานวณสงผล 2 ทาง คอการแยกคา 64 บต SSD_A และ SSD_B SSD_A คอคาทถกใชสำาหรบการรบรองวาเปนของแทจากกระบวนการ ในทางตรงกนขาม SSD_B ถกใชสำาหรบวธคดการเขารหสสำาหรบความเปนสวนตวและทการเขารหสและถอดรหส เลอกขอความอยบนการเจรจาของชองสญญาณวทย C channel รปท 7.4 แสดง SSD การใหเรมประมวลผล ตอนเวลาใด ๆ เครอขายสามารถสง MS ทจะปรบปรง SSD โดยการเรมใหม SSD กบ SSD ใหม สมหมายเลขสำาหรบจดประสงคความปลอดภย

รปท 7.4 การกำาเนด SSD

7.7.2 ครอบคลมความทาทายสำาหรบครอบคลมความทายทาย เปนของแทประมวลผล มาตราฐาน ANSI-41 ถกใช ในครอบคลมความทาทาย ระบบทใชสำาหรบปจจบน ตวเลข การรบรองวาเปนของแททาทายสถานโทรศพทเคลอนททงหมดทใช วทยควบคมชองสญญาณ ANSI-41 AC ตรวจสอบวาตวเลข ตอบสนองการรบรองวาเปนของแท ตวเลข ตอบสนองการรบรองวาเปนของแท จาก MS พยายามเขาถงระบบคอแกครอบคลมความทาทาย เพราะวาความทาทาย ตวบอกสถานะและสมหมายเลขถกใชสำาหรบความทาทายการกระจายเสยงอยบนวทยควบคมชองสญญาณและถกใชโดยสถานโทรศพทเคลอนททงหมดโดยการเขาถงชองสญญาณควบคมชองนน

รปท 7.5 กระบวนการรบรองระดบสากล (ไมมการแชร SSD ดวยระบบเซฟวงจ)

การรบรองวาเปนของแทประมวลผลแผนผง (เมอ SS ไมถกแชรกบการใชสำาหรบระบบ)ให ในดรปท 7.5

1. ระบบทใชสำาหรบเรมหมายเลขทสม(วง)และสงมนท MS ในขอความอยบนชองสญญาณหนวยควบคม

2. MS คำานวณการรบรองวาเปนของแทสงผลใหใช CAVE และสงไปผลลพธนนกลบไปทของการใชระบบเมอมนเขาถง

ระบบสำาหรบการลงทะเบยน การเรยกการประดษฐ หรอการสงเพจ จดประสงคจะตอบสนอง

3. ระบบทใชสำาหรบการรบรองวาเปนของแท สงผลการเดนหนา และ การสมหมายเลขทAC

4. AC คำานวณการรบรองวาเปนของแทสงผลอยางอสระและเปรยบเทยบทผลลพธรบจาก MS ถาคผลลพธ MS ถกพจารณาอยางสมบรณ แสดงวาจรงหรอแท ถาผลลพธไมค MS อาจจะพจารณาวาเปนของปลอมและการบรการอาจจะปฏเสธ

ถา SSD ถกแชร แลวระบบทใชสำาหรบกระทำาจะเปนการคำานวณ

7.7.3 การทาทายมอยางเดยวใน ANSI-41 การทาทายมอยางเดยว ผควบคมการรบรองวา

เปนของแทโดยตรงการใชระบบสำาหรบปจจบนการทาทายการรบรองวาเปนของแทระบบตวเลขถง MS เดยวทไมใชทงหมดคอ การตองการการบรการจากเครอขายหรอในการเรยกในการใชทไมวางสำาหรบ ระบบปจจบนการทาทายการรบรองวาเปนของแทระบบตวเลขท MS และคลงขอมลนนตอบสนองการรบรองวาเปนของแทระบบตวเลขให MS แกความทาทาย ดงนนใหตงชอเพราะวาการทาทายแสดงหมายเลขทสมการถกใชสำาหรบการทาทายถกโดยตรงทจะ สงผลกระทบ MS ทาทายความครอบคลมทวความถกตองการโดยในแตละ MS รปท 7.6 แสดงโพรซเดอรการทาทายพนฐานสำาหรบการรบรองวาเปนของแทเมอ SSD ไมถกแชร

รปท 7.6 กระบวนการรบรองพนฐานเมอ SSD ไมมการแชร

1. AC กำาเนดหมายเลขทสมและใชใหคำานวณหาผลลพธการรบรองวาเปนของแท AC สงทงหมายเลขและการรบรองวาเปนของแททสม ผลลพธทการใชสำาหรบระบบ

2. ระบบทใชสำาหรบเดนหนาสมหมายเลขท MS3. MS คำานวณการรบรองวาเปนของแทสงผลและสงการ

ใชสำาหรบระบบ 4. ระบบทใชสำาหรบเปรยบเทยบผลลพธจาก AC กบ

ผลลพธจาก MS ถาคผลลพธ MS ถกพจารณาจะมความสมบรณ การโตตอบทมการทาทาย ถาพวกเขาไมมค MS อาจจะพจารณา วาเปนของปลอมและการบรการอาจจะปฏเสธ ไดถาไมใชทงระบบทใชสำาหรบการรายงานผลลพธท AC

ถา SSD ถกแชร ระบบทใชสำาหรบขอคำาแนะนำาการทาทายมอยางเดยวจะประมวลผลและรายงานความไมสำาเรจท AC

7.8 การรกษาความปลอดภยใน GSM, GPRS และ UMTS

7.8.1 การรกษาความปลอดภยใน GSM

GSM อนญาตโทรศพท 3 ยหอ ทถกใชอยางไมมกดกนในพนทมากกวา 160 ประเทศ ใน GSM ความปลอดภยถกเพมอยในสงทมตวตน 3 อยาง คอ

ชนสวนระบผลงชอ( ซม )บรรจ IMSI TMSI (รหสสวนตว 10 บต) MSISDN การรบรองวาเปนของแท การคดเลข การกำาเนดวธคด A8, และการรบรองวาเปนของแท วธคด A3.ซม เปนคอมพวเตอรชพเดยวการบรรจการกระทำาระบบ(OS) ขอมล ระบบ และแอปพลเคชน ซม ไดรบการคมครองโดย(รหสสวนตว)และ การเปนเจาของโดยโอเปอรเรเตอร ซม แอปพลเคชนสามารถเขยนกบ ซมเครองมอ

GSM handset บรรจการคดเลขวธคด A5 เครอขายใชวธคด A3, A5, A8 ; KI และ IDS ถกตงอย

ในศนยการรบรองวาเปนของแททง A3 และ A8 วธคดถกเพมอยบน ซม โอเปอรเรเตอรสามารถตดสนใจ วธคดวธไหนทจะใช เครองมอของวธคดอยางอสระ ของอปกรณ โรงงานและโอเปอรเรเตอรเครอขาย

A5 คอ เลขศนย มนสามารถเพมประสทธภาพ อยบนอปกรณ ของการออกแบบทไมเคยทำา A5 มเวอรชน หลายเวอรชน: A5 / 1 (ณ วนนถกใชอยางกวางมากทสด) A5 / 2 (ออนแอกวา A5 / 1 ;ถกใชในประเทศบางประเทศ) และ A5 / 3 (เวอรชนใหมทสด พนฐานอยบน คาสม กลองคดเลข)

ศนยการรบรองวาเปนของแทบรรจฐานขอมลของลกษณะ และการรบรองวาเปนของแทของขอความสำาหรบผลงชอรวมถง IMSI ท ระบพนททตง (LAI ) และการรบรองวาเปนของแท(KI)มนรบผดชอบสำาหรบการกำาเนดการตอบสนอง ( RES ) และการคดเลข (KC)อนไหนถกตงอยใน HLR / VLR สำาหรบการรบรองวาเปนของแทและการเขารหสประมวลผลการแจกจายสาร ความปลอดภยและการเขารหส วธคดใหความปลอดภยเพมเตม

GSM ใชคำาแนะนำาขอความตงอยบน ซม บตรภายในโทรศพททจะใหการสอสาร การเขารหสและ การรบรองวาเปนของแท GSM การเขารหสถกประยกต การสอสารระหวางโทรศพทกบ โทรศพทเคลอนทและสถานพนฐาน การพกของการสงผานบนเครอขายทกำาหนดปรกตหรอวทย ใหใครกได ไมปองกน ทซงมนสามารถผานโดยงายหรอเปนการแกไข ในประเทศบางประเทศของสถานพนฐาน การเขารหสเปนสงอำานวยความสะดวกไมถกกระตน การออกแบบผใชอยางสมบรณ ไมตองระวงของเทจจรงทสงผานวาไมปลอดภย

การเขารหส GSM ถกกระทำาลงไปใหสำาเรจโดยการใชของกญแจความลบทแชร ถากญแจหนวยนคอถกตกลงกนไดมนจะเปนไปไดสำาหรบการสงผานจะเปนขอตกลงและสำาหรบโทรศพทจะเปนของเลยนแบบ (ตวอยางเชน ระบความสามารถโทรศพทเปนการคดลอก)ความลบทแชร กญแจสามารถผานโดยงายบรรลโดยการมศกยภาพทเขาถง ซม แตนจะเปนความตองการโจมตทจะไดจบเหยอ อยางไรกตามมนไดแสดงโดย การคนควาทกญแจความลบทแชรสามารถผานอากาศจาก ซม โดย การสงไปทาทายการรบรองวาเปนของแทแลวผลกระทบและการสงเกตตอบสนอง

ถาสถานพนฐานสามารถตกลงกนไดแลวการโจมตทจะสามารถวางอยบนการสงผานทงหมดการรบการโจมตจะไดเขาถงทแชรกญแจความลบของโทรศพทและโทรศพทเคลอนททงหมดทใชสถานพนฐาน ดวยเหตน การอนญาตการโจมตทจะเลยนแบบโทรศพททงหมด

การรบรองวาเปนของแทใน GSM ระบบถกกระทำาลงไปใหสำาเรจโดยสถานพนฐานการสงออก ความทาทายทสถานโทรศพทเคลอนท MS ใชกญแจอยบน ซม ของมนทจะสงการกลบตอบสนองทแลว เปนจรงตามน MS เพยงแสดงวาจรงหรอแท ทไมผใช

คย 64 บตถกเกบรกษาความลบขอมล มนเปนไปไมไดทจะเขารหสขอมลทงหมด สำาหรบตวอยาง การทำาใหแตกหนขอความบางอนตองสง ในการลบลางขอความGSM แตกแยกความทาทายพนฐานความปลอดภยผานขอความดวยองคประกอบ 3 สงของการตอบสนองลายเซน (SRES) และ KC ถกตงอยใน VLR เมอ VLR ไดถกใชการแตกแยกเพอทจะแสดงวาจรงหรอแท MS มนไมใชทง การแตกแยกหรอทำาเครองหมายทมนถกใช เมอ VLR ตองการทจะใชการแตกแยก มนใชชดของของการแตกแยกวา ไมถกทำาเครองหมายเหมอนถกใชอยในสงทชอบใหทำาเครองหมายถกใชแทน

เมอ VLR สมบรณตองการการแตกแยกจาก SLR หรอ VLR (เกา) มนมการแตกแยกใด ๆทถกทำาเครองหมายเหมอนถกใช เมอ HLR รบความตองการสำาหรบการแตกแยก มนสงผลใด ๆวาสงนนไมถกทำาเครองหมายเหมอนถกใช แลวลบหรอ เครองหมายเหมอนถกใช โอเปอรเรเตอรระบบ มเวลาอาจจะยอนใหใชกอน ดสการด เมอ เอชแอลอาร ไมมการแตกแยก มนจะ วางแผนการรบรองวาเปนของแท วาเปนศนยสำาหรบการแตกแยกเพมขน

ความทาทายพนฐานการแตกแยกสามารถเปนการรวมเขาไปในการเรยกตางๆ (เชน การลงทะเบยน แฮนดออฟ) มนถกอางถงการแยกสำาหรบลกษณะภายใน รปท 7.7 และ 7.8 แสดงการเรยกแผนผงของความทาทายพนฐานการแตกแยก

1. ระบบทใชสำาหรบสงการตดตอท MS2. MS คำานวณ SRES ใชตดตอและกญแจการรบรองวา

เปนของแท (KI)ในวธคดการเขารหส3. MS สง SRES ใหใชสำาหรบระบบหลก 4. MSC สงขอความท VLR ตองการการรบรองวาเปน

ของแท 5. VLR ตรวจสอบ SRES สำาหรบความถกตอง

6. VLR คนกลบสถานภาพท MSC 7. MSC สงขอความท MS ดวยความสำาเรจหรอความไม

สำาเรจ

รปท 7.7 เครองหมายการทาทายพนฐานจเอสเอม

รปท 7.8 เครองหมายการทาทายพนฐานจเอสเอม ดวยการแปรรหสลบ

รปท 7.9 ตรวจสอบลกษณะของเครองมอ

ทงระบบ GSM และระบบอเมรกาเหนอใช international mobile equipment identity (IMEI) ถกเกบใน equipment identity register (EIR) เพอเชคบางฟงกชนและอปกรณปลอม EIR บรรจบญชรายชอทถกตอง(บญชรายชอของถกตองทโทรศพทเคลอนท) บญชรายชอทสงสย (บญชรายชอของโทรศพทเคลอนทอยใตการสงเกต) และบญชรายชอปลอม (บญชรายชอของโทรศพทเคลอนทสำาหรบการบรการประเภทไหนคอถกใชบาร) (ดทรปท 7.9 สำาหรบการเรยกการตดตอ)

7.8.2 การรกษาความปลอดภยใน GPRSวทยทวไปบรการ (GPRS ) อนญาตใหขอมลทสงและรบขามเครอขายโทรศพทเคลอนท (GSM) GPRS สามารถพจารณาการขยายออกท GSM เปนเครอขายทจะใหการบรการ 3G ประเภท GPRS ไดออกแบบอนญาตใหผใชทจะเชอมตอกบอนเตอรเนต และเหมอนจะเปนเชนนนคอสงจำาเปนอนดบแรก ขนตอน ทำาตามเครอขาย 3G เครอขายสำาหรบโทรศพทเคลอนททงหมด ใน GPRS TMSI ถก

เคลอนยายโดย P-TMSI และ P-TMSI ลายเซน ขณะทระบทางเลอก HLR GPRS ลงทะเบยนแผนทระหวางโพรโตคอลอนเตอรเนต (IP)ทอยและ IMSI

ฟงกชนความปลอดภยของ GPRS คอคาเปรยบเทยบทมความปลอดภยอย GSM รบรองวาเปนของแทและโพรซเดอรการตงคาการเขารหสคอพนฐานอยบนวธคดทเหมอนกญแจและกฎเกณฑเหมอนอยในระบบ GSM

GPRS ใหระบการรกษาความลบทจะทำาการคนหาผใช ทถกกระทำาลงไปใหสำาเรจโดยใช เครองหมายถก ระบทซงเปนไปได เมอเปนไปได การรกษาความลบไดปกปองแกนหลกของตวเลขและทอย ขณะทอยใน GPRS อปกรณคอการแสดงวาจรงหรอแทโดยกลไกตอบสนองการทาทายนเพยง มงเนนวาความฉลาดของบตรภายในอปกรณบรรจกญแจถก GPRS ไมใหจบความปลอดภยดงนนมจดทซงขอมลบางงายทจะวางทงไวหรอโจมตถาจดๆนนสามารถไดรบการคมครอง ตวอยางเชน ในทตงปลอดภยทไมใชปญหา อยางไรกตาม ถาจบความปลอดภยแลวถกตองการมมาตรฐานอน ๆทสามารถใช GPRS ทมากเกนไป เชนโพรโตคอลแอปพลเคชนเครอขายไรสาย (WAP) และอนเตอรเนตความปลอดภยโพรโตคอล (IP security)

ใน GPRS การรบรองวาเปนของแทถกกระทำาโดยการใช GPRS สนบสนนโนด (SGSN) การแทนของ VLR การเขารหสไมถกจำากดสวนวทย แตมนขนกบ SGSN IP ทถกกำาหนดหลงจากการรบรองวาเปนของแทและการคดเลขวธคดการตกลงกน

7.8.3 การรกษาความปลอดภยใน UMTSความปลอดภยในการตดตอสอสารโทรศพทเคลอนทบรการ

(UMTS) สรางบนความปลอดภยของ GSM และ GPRS UMTS ใชลกษณะความปลอดภยจาก GSM นนมเหตผลทเหนดวยทตองการและเสยหายไดยาก UMTS พยายามทำาใหแนใจวาความปลอดภยความเขากนไดกบ GSM เพองาย ทใชในการตดตอสอสาร

และ แฮนดออฟ ระหวาง GSM และ UMTS ใหลกษณะความปลอดภยใน UMTS แกปญหากบ GSM โดยการทมนเปนจรงและ ความรสก ปลอดภยทออนแอ ลกษณะความปลอดภยใหมถกเพมขนเหมอนทจำาเปนสำาหรบการบรการใหมโดย UMTS และทจะคำานงถงการเปลยนอยในสถาปตยกรรมเครอขาย ใน UMTS ซม ถกเรยกวา UMTS SIM (ยซม)

UMTS ใชกญแจสาธารณะใน UMTS การรบรองรวมกนวาเปนของแทระหวางโทรศพทเคลอนท และ BS ดวยเหตนการโจมตของ BS ไมมการปลอมแปลง UMTS ไดเพมขนาดของกญแจและการใหความปลอดภยจดสองจด ลกษณะความปลอดภยอน ๆของ UMTS เนอหาขางลางน

บคคลผลงชอกญแจ K ศนยการรบรองวาเปนของแทและ ยซม แชร

- โดยเฉพาะผใชกญแจความลบ - การรบรองวาเปนของแทฟงกชนขอความ F1, F2 และ - กญแจกำาเนดหนาท F3, F4, 5

ศนยการรบรองวาเปนของแทมเครองกำาเนดหมายเลขทสม ศนยการรบรองวาเปนของแทตองมแผนทจงจะกำาเนด

หมายเลขอนดบตามกนใหม ยซม จะตองพสจนแผนทใหมๆ ของการรบหมายเลขอนดบ

ตามกน การรบรองวาเปนของแทของฟงกชน F1, F2 :

- MAC (XMAC) - RES (XRES)

กญแจกำาเนดหนาทฟงกชน F3, F4, F5 : - F3 :กญแจการคดเลข CK ( 128 บต) ; - F4 :กญแจความซอสตย IK ( 128 บต) และ - F5 :กญแจการสญเสย AK ( 128 บต)

การจดการกญแจเสรของอปกรณ ผลงชอสามารถเปลยนแฮนดเซตโดยปราศจากยนยนรกษาความปลอดภย

ประกนผใชและเครอขายท CK / IK ทไมไดถกใชกอนเจาะจงเฉพาะสำาหรบโอเปอรเรเตอรทำางาน

UMTS ใหตวอยางของจำานวนการเรยก พนฐานอยบนกลองคดเลข ไรจนดาแอวย

ความซอสตยทำางานบนฟงกชน F9 และการคดเลขทำางานบนฟงกชน F8 คอถกพนฐานอยบนกลองคดเลข Kasumi

7.9 ความปลอดภยของขอมลเปาหมายหลกในการใหความปลอดภยขอมล รกษาความลบ

ความซอสตยและใชประโยชนได การรกษาความลบแจกกบการปองกนของขอมลจากทไมไดรบอนญาตการเปดเผยของลกคาและคำาแนะนำาความเปนเจาของ ความซอสตยคอความแนใจของขอมลนนทไมไดดดแปลงหรอทำาลายใชประโยชนไดคอเพอใหตอเนองกน การคำานวณของอปกรณและซอฟแวรเพอวางานสงสรรครวมอยดวยสามารถแนใจไดวาของคำาสงการบรการ

ในสวนน พวกเราเลงบนอยางปรกตวามนถกใชความปลอดภยขอมลรวมถงไฟวอลล การเขารหส และโพรโตคอลการรบรองวาเปนของแท

7.9.1 ไฟวอลลไฟวอลลไดถกใชปองกนความปลอดภยจากพวกไวรสจากการ

เชอมตออนเตอรเนตและการทำาเขาถงไมไดจากการรบอนญาตและการปฏเสธของโจมตบรการทองคกร เครอขายนสามารถสำาหรบเราเตอร เกทเวย หรอจดประสงคพเศษของคอมพวเตอร ไฟวอลลตรวจดแผนผงขางในไดและปราศจากเครอขายองคกรและการจำากดเขาทเครอขาย ม 2 ชนดของ ไฟวอลล 1) กนกรองชดขอมลดวยไฟวอลล และ 2) เกทเวยระดบแอปพลเคชน

ชดขอมลกนกรองตรวจดขอมลทอยปลายทางของชดขอมล การผานเครอขายและอนญาตชดขอมลเทานนทมการยอมรบทอยของชดขอมลกนกรองไดตรวจด IP ทอยและ TCP (การสงผาน โพรโตคอลหนวยควบคม) พอรตชดขอมลกนกรองสวนทนาสนใจของแอปพลเคชนและอะไรทพวกไวรสกำาลงพยายามทจะทำา มนจะพจารณาขอมลเทานนของชดขอมลหรอไม การตรวจดขอมลตามความเปนจรง ขณะทผลลพธ ไวรสตวทำาลายระบบสามารถทำาการตดตงอยบนการใหสทธ คอมพวเตอรผใช การใหพวกไวรสเขาถงเครอขายโดยปราศจากใหสทธความรผใช

เกทเวยระดบแอปพลเคชนแสดงความเปนคอมพวเตอรเจาของบานกลางระหวางและภายนอกเครองลกขายและเครองเซฟเวอรภายใน มนจะบงคบทก ๆ เครองทจะลอคเขามาในเกทเวย และอนญาตเขาถงเพยงใหสทธแอปพลเคชน เกทเวยระดบแอปพลเคชนแยกเครอขายสวนตวจากการพกของอนเตอรเนตและซอนคอมพวเตอรของบคคลอยบนเครอขาย ไฟวอลลชนดนจอจะแสดงขอมลตามความเปนจรง ถาขอความถกเหนวาบนทกแลวมนสงเครองรบเจตนาใหไฟวอลลเหลาน มความตองการมากกวาพลงงานมากกวาชดขอมลทกนกรองและทำาใหเครอขายเกดผลกระทบได

7.9.2 การเขารหสการเขารหสหนงในบรรดาวธทดทสดทจะปองกนเขาถงทไมได

รบอนญาตของพวกไวรส การเขารหสคอกระบวนการของการทดแทน คำาแนะนำาโดยกฎคณตศาสตร สวนประกอบสำาคญของระบบการเขารหส 1) ขอความทยงไมผานการเขารหส 2 )วธคดการเขารหสกลไกทลอคเซฟ 3 )การเกบกญแจเซฟรวมเขาดวยกน และ 4 ) ขอความทเปลยนแปลงไปจากเดม (ผลตจากขอความทไมผานการเขารหสโดยกญแจดวยการเขารหส)

การถอดรหสคอกระบวนการทกลบหลงของการเขารหส มนไมเสมอการใชกญแจทเหมอนหรอวธคดขอความทไมผานการเขารหส

ผลลพธในการถอดรหสกตาม ชนดของกญแจถกใชในการเขารหสขอมล

คยลบ (การเขารหสแบบสมมาตร)ทงผสงและผรบแชรความรของกญแจความลบทเหมอน การ

ตะกายเทคนคถกเรยกการเขารหส ขอความนนวาถกอางองทจะเหมอนขอความทยงไมผานการเขารหสหรอการลบลางขอความ และเวอรชนการเขารหสของมนถกเรยก การกลบสการถอดรหส การเขารหสของขอความทไมผานการเขารหสเขาไปในการยอนหลงโดยใชกญแจความลบ ek ใหเหมอน (ดรปท 7.10 )

y = ek (x) การกลบสสภาวะผลตผลตรงกบการถอดรหส

x = dk (y) ขอความทไมผานการเขารหส

ทซง dk คอ กญแจการถอดรหส

รปท 7.10 การนำาขอความมาเขารหสโดยใชคยลบ

โดยอดมคต แผนการเขารหสเชนนนจะไมทำาใหสงนนสามารถเสยทงหมด เพราะวามไมมวธใดทใชการไดจรงการกระทำาลงไปใหสำาเรจเชนนนทความปลอดภยไมมเงอนไข แผนการเขารหสถกออกแบบเปน การคำานวณทงหมดของความปลอดภยจากการเขารหสและการถอดรหส วธคดใชกญแจทเหมอน และดวยเหตนวธคด

เชนนนคอ การเรยกวา สมมาตร วธคดกญแจสมมาตร วธคดกญแจอลกอรทมทจะไมสรางความเสยหายและการจดการของกญแจคอการทาทาย ความแขงแรงของวธคดเหลาการยดหลกขนาดของกญแจมากกวาความตองการการชดใชทจะเสยถาขนาดของกญแจความลบคอ n บต ท 2n-1 นอยทสด ขนตอนแรกจะเปนการเสยของความตองการเขารหส

มาตรฐานการเขารหสขอมล (DES) จำากดความโดย NIST กระทำาการเขารหสอยในอปกรณ ทยากตอการเรงขนการเขารหสและการถอดรหส (การคำานวณ) ลกษณะเพมเตมของ DES คอ

1. DES คอกลองคดเลขและงานอยบนกลองขนาดทกำาหนดของขอมล ขอความถกสวนเขาไปในกลองของขอความทไมผานการเขารหสประกอบดวย 64 บต มกญแจ 56 บต ถกใชเขารหสในแตละกลองของขอความทไมผานการเขารหส เขาไปในกลอง 64 บต ของสวนกลบของการเขารหสเครองรบใชกญแจทเหมอนทจะกระทำาการถอดรหส (การคำานวณ)ในแตละกลองขอมล 64 บต ทมนยากตอ องคประกอบของกลองทจะเขาไปในขอความทเสรจสน

2. กญแจทมใหญกวา มนยากสำาหรบใครคนใดคนหนงใหแปลความหมายมนมากเทาไหร DES ใชกญแจ 56 บตและใหเพยงพอกบความปลอดภยสำาหรบแอปพลเคชน ธรกจสวนมาก DES สามสวน คอเวอรชนทขยายของ DES ซงประยกต DES 3 ใน 2 ดวยกญแจ 56 บต

วธคดการเขารหสขอมลนานาชาต(แนวความคด)คอกลองคดเลขวธคลายคลงกบ DES มนกระทำาบนกลอง 64 บตของขอความทไมผานการเขารหสและใชกญแจ 128 บต วธคดสามารถเปลยนแปลงเพมเตมไมใชแคทงทอยในอปกรณหรอซอฟแวร มนคอเเรวกวา 3 เวลา DES ถกพจารณาและเปนผบงคบบญชาท DES

ขนาดกญแจถกใชอยในระบบเครอขายไรสายปจจบนไม ไมเพยงพอสำาหรบความปลอดภยสงทด IS-136 ใช 64 บต กญแจทปลอดภยยงตองพจารณาแตเปนหนทางทจะนอยลง

พลบบลคคย (หรอการเขารหสแบบไมสมมาตร)การเขารหสคยสาธารณะใชคยยาวกวาการทำาการเขารหสสมดล คยจดการปญหาคอลดปญหาใหญเพราะวาคยสาธารณะเปนการเผยแพรและคยสาธารณะนนไมเคยกระจายนนไมตองการเปลยนคย

ในระบบคยสาธารณะใชงานสองคยหนงคยเขารหสและหนงคยถอดรหส สองคยเปนการเกยวกบการคำานวณทางคณตศาสตรเพอสงอนแตอยางทรหนงคยไมทำาการเผยใหกบคยอน สองคยนนถกเรยกวา พลบบลคคย และ ไพรเวทคย ของผใช เครอขายกม“ ” ” ”พลบบลคคยและไพรเวทคย ดวยเหมอนกน

ผสงใชพลบบลคคยเพอเขารหสขอความ ผรบใชไพรเวทคยเพอถอดรหสขอความ โครงสรางพนฐานพลบบลคคย (PKI) คอสวนหนงของฮารดแวร, ซอฟตแวร, องคกร และนโยบายเพอเขารหส พลบบลคคย ทำางานบนอนเทอรเนต มความปลอดภยใหกบ PKI นนและเขารหสชองสญญาณใหเหมาะสมเพอระบผใชงานและบรษทผานการใชใบรบรอง

รปท 7.11 กระบวนการขนตอน RSA

วธของพลบบลคคยวธ Rivet-Shamir-Adleman (RSA) เปนการอาศยวทยาการรหสลบพลบบลคคย เวอรชน pretty good privacy (PGP) ของ RSA คอเครองมอพลบบลคโดเมนทมใหสำาหรบใชงาน

บนอนเทอรเนตในอเมรกาเหนอทไมใชสำาหรบธรกจ หลายครงมนถกใชเขารหสอเมล ผใชทำา พลบบลคคย ทมใหโดยวางมนทงหมดบนเวบเพจ ทกคนกหวงทจะสงการเขารหสใหบคคลนนสำาเนา พลบบลคคย จากเวบเพจเขาไปในซอฟตแวร PGP และสงการเขารหสขอความการใชพลบบลคคยของบคคลนน

ความสมพนธรวมกนสองสวนของ RSA (ดในรปท 7.11)1. พลบบลคคย และ ไพรเวทคย2. อลกอรทมการเขารหสและการถอดรหส

ขนตอนอลกอรทมใน RSA คอ เลอกเลขใหญเลขสำาคญสองเลข, p และ q (แลป RSA สนบสนน

ใหโปรดกซของ p และ q เปนลำาดบของ 768 บตสำาหรบใชงานสวนบคคลและ 1024 บตสำาหรบใชงานนตบคคล)

การคำานวณ n = p q และ z = (p - 1) × ( q - 1) เลอกเลขให e นอยกวา n ไมมปจจยธรรมดา (ทมากกวา 1) กบ z

(ในกรณน e และ z เปนเลขสำาคญ) คนหาตวเลข d เชน ed – 1 หาร z ลงตว พลบบลคคย ทมอยเพอโลกคอคของตวเลข (n, e) และไพรเวทคย

คอคของตวเลข (n, d)Encrypted value me mod(n) _ C

(7.1)Plaintext m _ Cd mod(n)

(7.2)

ตวอยางท 7.1 ให p = 5 และ q = 7 ทำาใหเกด พลบบลคคย และ ไพรเวทคย สำาหรบอลกอรทม RSAวธทำา n = pq = 5 × 7 = 35, z = ( p - 1) . ( q - 1) = 4 × 6 = 24เลอกให e = 5 เพราะวา 5 และ 24 ไมมปจจยธรรมดายกเวน 1

เลอกให d = 29 เมอ ed – 1 = 5 × 29 – 1 = 144 สามารถหาร z (24) ไดลงตวพลบบลคคย (35, 5)ไพรเวทคย (35, 29)

ถาผสงสงตว e ซงมคาเปน 5 แสดงวาผรบไดรบตว e ซงแสดงการคำานวณดงน

วธ Diffie-Hellman (DH) การแลกเปลยนอลกอรทมคยดฟฟ เฮลลแมนถกเสนอในป 1976 มนเปนวธการใชงานทกวางขวางสำาหรบการแลกเปลยนคยและตงอยบนกลมวงกลม ในทางปฏบตกลมมากมายของฟลดสำาคญ Zp หรอกลมของเสนโคงซงเปนรปไขถกใชบอย ถาพารามเตอรเลอกอยางระมดระวง โปรโตคอลดเอชเปนทปลอดภยเปรยบเทยบกบการบกรกเฉยๆ(คอผบกรกสามารถเพยงแคลอบฟง) คย DH แลกเปลยนโปรโตคอลรหสลบนนยอมใหสองพวกนนไมไดรกอนผอนเพอสรางคยลบทถกแชรรวมกนเหนอชองสญญาณการสอสารทไมมนคง คยนคนเคยกบการเขารหสการสอสารตามลำาดบใชการแปรรหสคยไมสมมาตร เครองมอสำาหรบโปรโตคอลใชหลายกลมของมอดโลจำานวนเตม p p ไหนสำาคญและ g เปนมอดโล p เกา อลกอรทมทำางานดงตอไปน(ดในรปท 7.12)

รปท 7.12 คยดฟฟ เฮลลแมนแลกเปลยนอลกอรทม

วธวนไทมคยวธวนไทมคยเปนสงทตงอยบนการกำาเนดของคยใหมทกๆเวลาขอมลเปนการถายทอดซงเกลยสคย คอการถายทอดในโหมดความปลอดภย (เขารหส)และทใชงานกลายเปนไมสมบรณ ในบางเครองมอระบบกลางไมมการประกาศคยสำาหรบการเชอมตอใหมจนกระทงผใชชดเชยใหกอนใชคย

Elliptic Curve Cryptography (ECC)คณลกษณะของ ECC มดงน

- ECC เปนเทคนคการเขารหสแบบ พลบบลคคย ตงอยบนทฤษฎเสนโคงซงเปนรปไข

- ECC สามารถเปนการใชงานรวมกนกบวธการเขารหส พลบบลคคย สวนมากไดแก RSA และ Diffie-Hellman

- ECC สามารถใหผลระดบของความปลอดภยดวยคย 164 บตขณะทระบบอนๆตองการคย 1024 บต

- เพราะวา ECC ชวยใหความปลอดภยมนคงกบการคำานวณพลงงานตำากวาและแบตเตอร สงนใชมากมายในแอพพลเคชนมอถอ

- ผผลตจำานวนมาก (3COM, Cylink, Motorola, Pitney Bowes, Siemens, TRW และ VeriFone) มการสนบสนนสำาหรบ ECC ในผลตภณฑของพวกเขาดวย

ลายเซนดจตอลลายเซนดจตอลเพอความปลอดภยและรบรองการสอสารขอความ (เปดใชงานโดย พลบบลคคย กำาลงเปดใชงาน (PKE)) มนจดเตรยมระบทปรากฏของผสง ลายเซนดจตอลประกอบดวยชอของผสงและคยอนๆทบรรจอยภายใน (ยกตวอยางเชน วน, เวลา ฯลฯ) คณลกษณะของลายเซนดจตอลมดงน

- ลายเซนดจตอลสามารถใชเพอทำาใหแนใจวาผใชนนคอใชผทอางสทธหรอไม

- การลงชอของตวแทนลงชอในเอกสาร m ใชการถอดรหส ไพรเวทคย dB และคำานวณลายเซนดจตอล dB (m)

- ผรบใช พลบบลคคย ของตวแทน eB และนำาไปใชกบลายเซนดจตอล dB (m) รวมกนกบเอกสาร m และการคำานวณ eb [ db (m)] เพอใหไดผล m

- วธคดนเรวมาก, โดยเฉพาะกบฟงกชนแฮช- มนถกใชในรหสขอความทมความนาเชอถอเทานนเมอชองสญญาณท

ปลอดภยถกใชเพอสงไปถอดรหสขอความแตตองการทจะพสจนวาเชอถอไดอยางแนนอน

- มนถกใชในชองสญญาณทปลอดภยของ Secure Socket Layer (SSL)

7.9.3 Secure Socket LayerSSL เปนโปรโตคอลทใชเลเยอรระดบเซสชนในอนเตอรเนต

เพอจดเตรยมชองสญญาณทปลอดภย SSL ถกใชอยางกวางขางบนเวบ ใน SSL เซฟเวอรสง พลบบลคคย ของมนและเทคนคการแกรหสทใชบนเบราเซอร เบราเซอรสรางคยสำาหรบเทคนคการถอดรหสและสงมนใหเซฟเวอร การสอสารระหวางเบราเซอรและเซฟเวอรถกแกรหสการใชโดยคยทสรางขนโดยเบราเซอร

คณลกษณะ SSL คอ- ขอรหสเจรจาสงทรวบรวมการสรางรหสลบอลกอรทมรบรอง- การปลกเครองการคมนาคมทปลอดภยกำาจดสงทตองการออกจาก

กลมทสามและใชการสอสารมาเขารหสสำาหรบการแลกเปลยนในตอนแรก

- คำาใบ พลบบลคคย สำาหรบคยลบและคำาใบคยลบสำาหรบขอมล

7.9.4 โปรโตคอลการรกษาความปลอดภยไอพ (IPSec)IPSec เปนการใชโปรโตคอลอยางกวางขวางสามารถถกใชกบ

โปรโตคอลแอพพลเคชนเลเยอร (ไมใชสำาหรบเวบแอพพลเคชนเชนเดยวกบ SSL) การดำาเนนการของ IPSec ระหวาง A และ B ทำาให

- A และ B กำาเนดขนและเปลยนการสมคยสองคยโดยใช Internet key exchange (IKE)

- A และ B ผสมสองตวเลขเพอสรางกญแจการสรางรหสลบ- A และ B เจรจาเทคนคการสรางรหสลบเพอใชเชนเดยวกบ DES

หรอ 3DES- A และ B นนเรมสงขอมลและขนสงขอมลทใชเทานน IP

payload เปนการนำามาเขารหสหรอโหมด tunnel ทงหมดน IP packet ถกนำามาเขารหส

7.9.5 โปรโตคอลทนาเชอถอความนาเชอถอของผใชคอการใชเพอทำาใหแนใจวาผใชเทานนท

มสทธทเขาไปในเครอขายไดและเขาไปในทางเฉพาะภายในเครอขายและในเครอขายจำาพวกเฉพาะ แตละเมธอดใชสำาหรบรบรองวาเปนขอมลผใชงาน, บญชผใชงาน, รหสผานผใชงาน, ไบโอเมตรก และรบรองเครอขาย

ขอมลผใชงานเปนการระบแตละผใชโดยผจดการ ขอมลผใชงานกำาหนดลมตของผใชในการเขาถงเครอขาย ขอมลผใชงานเขาไปในรายละเอยดจำาเพาะดงเชน ขอมลและทรพยากรของเครอขายทผใชนนสามารถเขาถงและประเภทของการเขาถง รปแบบของการเขาถงเครอขายอาศยรหสผาน, การด หรอรหสผานหนงครงดวยรปแบบไบโอเมตรก เปนหลกของการเขาถง ผใชสามารถเขาสระบบโดยอาศยนว, มอ หรอแสกนมานตาโดยผานระบบไบโอเมตรก มนสะดวกและไมตองจำารหสผาน วธไบโอเมตรกนเปนการใชในแอพพลเคชนการรกษาความปลอดภยระดบสง

เครอขายทนาเชอถอตองการใหผใชงานเขาสระบบทนาเชอถอของเซฟเวอรและตรวจสอบ ไอด และรหสผานอกครงจากฐานขอมลและออกคำาสงรบรอง การรบรองเปนการใชโดยผใชงานสำาหรบจดการสงทตองการทงหมด Kerberos เปนอกหนงทใชโปรโตคอลการรบรอง อกสอง โปรโตคอลการรบรองนนถกใชงานเปน remote authentication dial-in user service (RADIUS) และ terminal access controller access control system (TACACS)

Kerberos เปนคยลบเครอขายนาเชอถอโปรโตคอลใชอลกอรทมวทยาการรหสลบ DES สำาหรบนำามาเขารหสและความนาเชอถอ มนถกออกแบบใหความนาเชอถอตองการทรพยากรเครอขาย Kerberos เปนพนฐานความคดของกลมทไวใจไดกลมทสามพสจนความปลอดภยของผใชงานและการบรการไพรแมรใชสำาหรบ Kerberos เปนการพสจนวาผใชและการบรการของเครอขายถกใชงานจรงๆใครและอะไรเปนผเรยกรองใชงาน เพอบรรลผล Kerberos เซฟเวอรนออกตวใหผใช ตวนนจะมระยะเวลาจำากดถกเกบไวในแคชหลกฐานอางองของผใช ตวเปนการใชแทนมาตรฐานกลไกความนาเชอถอของชอผใชและรหสผาน

RADIUS เปนระบบการแบงไคเอนท/เซฟเวอรวาปกปองเครอขายตอตานทไมมสทธเขาถง ในเครองมอของซสโก ไคเอนท RADIUS ทำางานบนซสโกเราเตอรและสงความตองการความนาเชอถอใหเซฟเวอร เซฟเวอรกลางจำากดวงผใชและคำาแนะนำาการเขาถงการบรการเครอขายทงหมด RADIUS เปนโปรโตคอลการรกษาความปลอดภยอยางเดยวเทานนทสนบสนนโดยโปรโตคอลความนาเชอถอไรสาย

TACACS (แกเปน TACAS) เปนการรกษาความปลอดภยแอพพลเคชนทเตรยมเหตผลกลางของผใชพยายามทเขาไปถงเราเตอรหรอเครอขายเขาถงเซฟเวอร การบรการ TACACS เปนการรกษาฐานขอมลบน TACACS เดมอนทำางานบนยนกซ, วนโดวเอน

ท, วนโดว2000 TACACS ไวสำาหรบแยกและประกอบความนาเชอถออนญาตและทำาใหเกดความสะดวก

ผจดการเครอขายอาจยอมใหรโมทผใชงานเพอใหมเครอขายทเขาถงการบรการสาธารณะโดยยดหลกการรโมทเขาไป เครอขายตองถกออกแบบเพอควบคมใครกตามทเชอมตอเขามาและอะไรกตามทถกยอมใหเชอมตอ ผจดการเครอขายอาจหาสงทจำาเปนเพอปรบแตงระบบการทำาบญชทใครเขาสระบบเมอเขาสระบบและเขาทำาอะไรบางเมอเขาสระบบ

การบรการความปลอดภย Authentication, authorization, and accounting (AAA) จดเตรยมเคาโครงสำาหรบชนดเหลานของหนวยควบคมทางเขาและฟงคชนการทำาบญช ผใชงานหมนไปทการเขาถงเซฟเวอรทปรบแตงดวย challenge handshake authentication protocol (CHAP) การเขาถงเซฟเวอรโดยทนทผใชสำาหรบชอและรหสผาน กระบวนการของการพสจนการเขานถกเรยกความนาเชอถอ ผใชอาจจะสามารถทจะดำาเนนการออกคำาสงบนเซฟเวอรหนงครงมนถกรบรองอยางสมบรณ

เซฟเวอรใชกระบวนการความนาเชอถอทกำาหนดวาคำาสงไหนและทรพยากรควรจะถกเสนอแกผใชทเจาะจงนน ความนาเชอถอถามคำาถาม สทธพเศษอะไรทผใชนม? ในตอนทายจำานวนความพยายามการเขาใชคำาสงทใชเฉพาะและเหตการณระบบอนๆสามารถถกลอคและเวลาทแสตมปโดยกระบวนการการทำาบญช การทำาบญชสามารถถกใชเพอตามรอยปญหาเชนเดยวกนกบการฝาฝนความปลอดภยหรอมนอาจจะถกใชเพอตรวจสอบสถตทใชวางบลขอมล การทำาบญชถามคำาถามเชน: ผใชนทำาอะไรและทำาเสรจเมอไหร? ตอไปนคอประโยชนในการใช AAA :

- AAA จดเตรยมการปรบขนาดได AAA โดยทวไปคาทตงไวพงพาเซฟเวอรหรอกลมของเซฟเวอรทเกบชอผใชและรหสผาน หมายความวาฐานขอมลภายในจะตองไมถกสรางและปรบปรงใหมบนทกเราเตอรและทางเขาเซฟเวอรในเครอขาย

- AAA สนบสนนโปรโตคอลความปลอดภยททำาใหไดมาตรฐาน : TACACS, RADIUS และ Kerberos

- AAA ใหผจดการแกไขระบบการสำารองหลายอน เปนตนวา เครองแมขายทางเขาสามารถถกแกไขเพอปรกษาเครองแมขายความปลอดภยแรกและวนาทฐานขอมลภายใน

- AAA จดเตรยมเคาโครงสถาปตยกรรมสำาหรบการแกไขคณลกษณะความปลอดภยทแตกตางทงสาม : ความนาเชอถอ, การอนญาตและการจดการบญช

7.10 แอรอนเตอรเฟสสนบสนนสำาหรบวธการรบรอง สวนตดตออากาศตางๆทใชสำาหรบเครองคอมพวเตอรและระบบเซลลลารในยโรปและอเมรกาเหนอสนบสนนหนงหรอมากกวาของวธรบรองทแตกตาง AMPS เกาแกเทานนทสนบสนน MIN/ESN เพราะวธนาเชอถอ ทงหมดของระบบดจตอลในอเมรกาเหนอ ยกเวน GSM1900 สนบสนน SSD GSM สนบสนนเครองหมายพนฐานทนาเชอถอ UMTS สนบสนนเครองหมายพนฐานทนาเชอถอรวมทงคณลกษณะบางความปลอดภยทสงขน CDMA2000 สนบสนน SSD สรปดงตารางท 7.1

ตารางท 7.1 สรปของวธการรบรองสำาหรบเครองคอมพวเตอรและระบบเซลลลารในยโรปและ

อเมรกาเหนอ

7.11 ขอสรปของความปลอดภยในระบบไรสายปจจบนแตละวธของการรกษาความปลอดภยทำาใหพอใจความตองการความปลอดภยสำาหรบระบบไรสายในเสนทางทแตกตาง AMPS เกามความปลอดภยตำา ระบบดจตอลใชงาน SSD อนใดอนหนงของระบบไรสายยกเวนปดบงชอเตม พลบบลคคย พนฐานระบบความปลอดภยพบความตองการทงหมดรวมถงชอแฝงแตไมสนบสนนเตมท ความลบของการสอสารถกรกษาผานทางการสรางรหสลบของการเปนสญญาณ, เสยงและขอมลสำาหรบระบบดจตอล AMPS สงขอมลทงหมดในการเคลยและอยามความลบเวนแตผใชงานเพมมนเขาไปในระบบ ตอไปนคอขอสรปของการสนบสนนสำาหรบความตองการความปลอดภยสำาหรบเครองคอมพวเตอรและระบบเซลลลารในอเมรกาเหนอและยโรป (ดตาราง 7.2)

คณลกษณะ

MIN/ESN

(AMPS)

SSD ลกษณะพนฐาน

พลบบลคคย

ความเปนสวนตวของการสอสารสญญาณ ไมม

สง:ขอความถกนำามาเขารหส



เสยง ไมม สง:เสยงถกนำามาเขารหส

สง:เสยงถกนำามาเขารหส

สง:เสยงถกนำามาเขารหส

ขอมล ไมมสง:ขอความถกนำามาเขารหส



ความถกตองในการวางบลความถกตอง

ไมม:โทรศพทสามารถถกลอกเลยนแบบได

สง:ถามการรบรองทแนนอน



ความเปนสวนตวของคำาแนะนำาผใชทตง ไมม ปานกลาง:การ

ใช IMSI/TMSIปานกลาง:การใช IMSI/TMSI

สง:พลบบลคคยเตรยมความไมมลกษณะเฉพาะเตม

ไอดผใชงาน

ไมม ปานกลาง:การใช IMSI/TMSI

ปานกลาง:การใช IMSI/TMSI

สง:พลบบลคคยเตรยมความไมมลกษณะเฉพาะเตม

แบบแผนการเรยกรอง

ไมม สง:ใช TMSI และนำามาเขารหส

สง:ใชTMSI และนำามาเขารหส

สง:พลบบลคคยเตรยมความไมมลกษณะเฉพาะ

เตมตานการขโมยของ MSบนอากาศ ไมม สง สง สง

จากเครอขาย

ขนอยกบการออกแบบระบบ




จากระหวางการเชอมตอ





โคลนนง ไมม สง ปานกลาง สง

ตารางท 7.2 ขอสรปของการสนบสนนสำาหรบความตองการความปลอดภยสำาหรบเครองคอมพวเตอรและระบบเซลลลารในยโรปและอเมรกาเหนอ

7.11.1 ความถกตองในการวางบลตงแตโทรศพท AMPS สามารถถกโคลนจากขอมลทขดขวางเหนอทางเชอมวทย ความถกตองในการวางบลสำาหรบ AMPS ทสญญาณตำาถงไมม สำาหรบระบบอนเมอมการรบรองความถกตองในการวางบล สงถาโอเปอรเรเตอรระบบใหบรการกอนการรบรองหรอถงแมวาการรบรอบเกดการลมเหลวเกดขนนน ความถกตองในการวางบล จะกลายเปนตำา

7.11.2 ความเปนสวนตวของคำาแนะนำาความเปนสวนตวของคำาแนะนำาผใชงานเปนการสงผานทางอากาศสำาหรบระบบทงหมดนอกจาก AMPS ตงแตระบบพนฐานเครองหมายใน GSM ไมมการสนบสนนการเรยกนบคาในอดต มนมการตานตำากวาใหสงเลยนแบบกวา SSD หรอระบบ พลบบลคคย

กรณหนง โทรศพท AMPS ใช MIN/ESN โดยไมมการปองกนการเลยนแบบ แตตอนนเขาสนบสนน SSD ความตานทานขโมยขอมลจากเครอขายซงตดตอกนและกนหรอจากระบบปฏบตการ (OS) ในเครอขายพงพาการออกแบบระบบ

7.11.4 การออกแบบแฮนดเซตการรบรองทงหมดและอลกอรทมสวนตวทำางานงานในมาตรฐานไมโครโปรเซสเซอร 8 บต ใชในสถานมอถอยกเวนระบบ พลบบลคคย

7.11.5 กฎในการปฏบตตามAMPS เปนสวนทงายทลอบสวนทตดตออากาศ ระบบดจตอลจะตองการสวนตอประสานเครอขายตงแตสงทเปนสวนตวถกรกษาสวนตดตอทลอยบนอากาศ

ความตองการเครอขายพบสวนมากของความตองการของกฎบงคบใหทำาการตอสายดกฟงโทรศพทอยางถกกฎหมาย

7.12 สรปสาระสำาคญในบทนเราไดอธบายความตองการเพอความเปนสวนตวทแขงแกรงและการรบรองระบบไรสายและเคาโครงของแตละเซลลลารและระบบเครองคอมพวเตอรทสนบสนนความตองการนน สระดบของเสยงสวนบคคลทถกแสดง ตอมาเราไดระบความตองการในพนทของสวนบคคล, ตอตานการขโมย, ความตองการระบบวทย, ชวงระยะเวลาของการดำารงชวตของระบบ, ความตองการทางกายภาพตามทเพมในสถานซงเคลอนทไดและตองการใหปฏบตตามกฎ เรายงตรวจดวธทแตกตางของการรบรองวาปลอดภยตามทตองการหรอไมสำาหรบใชในเครอขายไรสายอยทวไปทกหนทกแหง เรายงยกตวอยางรปแบบของความปลอดภยและอธบายวาเราจะพบความตองการความปลอดภยไดอยางไร

บทท 8ความปลอดภยโทรศพทเคลอนทและความเปนสวนบคคล

ปรากฏการณการเตบโตของอนเทอรเนตมความหลากหลายของแอพพลเคชนเครอขายเพมขนและการบรการทมอยภายในชวตประจำาวนของเราทมการเปลยนไปเปลยนมา แนวโนมนถกสงเสรมโดยอปกรณโทรศพทเคลอนทจำานวนมากทเปนจดสำาคญทำาใหมนเปนไปไดทเขาสเครอขายจากทใดๆหรอเวลาใดๆ ในความคลายคลงความปลอดภยและความเปนสวนบคคลเปนผลใหมลกษณะภายนอกในทกเกอบลกษณะของแบบการคำานวณโทรศพทเคลอนทจากความปลอดภยการสอสารไรสายไปทการปฏเสธเครอขายของการรกรานบรการ (DoS) เพอทำาใหโปรโตคอลเครอขายปลอดภยและเพอความเปนสวนบคคลของโทรศพทเคลอนท ยงกวานนลกษณะซงสบทอดมาของการคำานวณโทรศพทเคลอนทมการบงคบใหดกวาทเรยกรองบนความปลอดภยของโทรศพทเคลอนทและทางออกของความเปนสวนตวกวาบนการเขาใกลสายสญญาณความปลอดภยเครอขายทวไป

ในบทนไดสำารวจระยะกวางของความปลอดภยโทรศพทไรสายและเนอหาความเปนสวนบคคลนำาเสนอโดยรปใหญของพนทกวางนใหเขาไปในมลฐานความปลอดภยจำานวนหนงใหการเขาใจอยางลกซงสงแวดลอมปญหาการออกแบบของระบบความปลอดภยโทรศพทเคลอนทไรสายและแอพพลเคชน บทเรยนเรมตนดวยสรประเบยบความปลอดภยสวนหนงของความคดความปลอดภยเครอขายพนฐานและแผนความปลอดภยเพราะถกปฏบตตามโดยขอบเขตทการประกนภยลกซงของเนอหาความปลอดภยในเครอขายเซลลลาร, ไวเลสแลน, บลทธและระบบโทรศพทเคลอนทไรสายทปรากฏออกมา เมอแสดงหวขอแตละอนเราแนะนำาลกษณะทางเทคนคของปญหาแตละอนและอธบายเสนอบางขอคดเหนสำาหรบแกไขมน เมอเปนไปได เราเอาทไลนการแกปญหาในโลกจรงบางอยางเพอปญหาอยขางใต ผอานจะสามารถใหรบอยางรวดเรวเกยวกบความเขาใจเสถยรภาพของคยความปลอดภยโทรศพทเคลอนทและเนอหาความเปนสวนบคคลทผานมา

เครอขายไรสายโทรศพทเคลอนทรอบเนอหาความปลอดภยและแอพพลเคชนสามารถถกจดเปนหมวดหมดงตอไปน

ขอความลบขอความสมบรณขอความทนาเชอถอการปฏเสธไมไดการเขาถงหนวยควบคม

เมอพดถงความแตกตางระหวางความปลอดภยและความเปนสวนบคคลเราพจารณาลสนถกประกอบดวยปญหาความปลอดภยดวยลกษณะเฉพาะและปดบงทตงทเปนหวขอทตรงประเดนทความเปนสวนบคคลของโทรศพทเคลอนท

8.1 ความปลอดภยทสำาคญใหเราคดวาครงแรกเคาเรองโดยทวไปในตวอยางทกำาลงคำานวณโทรศพทเคลอนททซงมนเปนไปไดทจะใชอปกรณโทรศพทเคลอนท (เชน เซลลโฟน, พดเอ, สมารทโฟน, แลปทอปคอมพวเตอร) เพอเขาสการบรการของเครอขายโดยใชความหลากหลายของเทคโนโลยการสอสารไรสายดง wireless local area network (LAN) หรอ CDMA2000 การคำานวณนรวมถงการใชทเปนประโยชนบางประเภทของฮารดแวรหนงหรอมากกวาของอปกรณเครอขายไรสายและซอฟตแวรเชนเดยวกบแอพพลเคชนและการสนบสนนระบบปฏบตการโทรศพทเคลอนทของอปกรณโทรศพทเคลอนท การใชงานไดและการจดการบนอปกรณไรสายและแอพพลเคชนซอฟตแวรบนปลายทางของเซฟเวอร เมอกลมการสอสารแตกระนนคำาถามทสำาคญคอเราสามารถรกษาความปลอดภยสภาพแวดลอมของการสอสารทงหมดอยางไร ปญหานสามารถเขาใกลจากหลายทศนคตทแตกตางดงน

ทศนคตของผใชงาน - ผใชงานอาจใชอปกรณโทรศพทเคลอนทสำาหรบจดประสงคจำานวนมากรวมถงการซอสนคาออนไลน, การทำาบรการธนาคารออนไลนและการสอสารสวนบคคลกบเพอนและสหายหรอผใชงานอาจใชใหเปนประโยชนดงเชนการบรการแผนทออนไลน, ทำานายอากาศหรอเกมสออนไลนเพราะวาในเหตผลคำาแนะนำาเซนซทฟจำานวนมากทถกสงกลบและออกไป ความเกยวพนหลกของผใชงานเปนสงทนาจะรวมขอมลลบและความมนคงรวมทงความจรงของกลมอนกบสงไหนทผใชเชอมตอ

ทศนคตของผใหบรการ - ผใหบรการมการจดเตรยมพนฐานของโครงสรางเครอขายทปลอดภยสำาหรบแอพพลเคชนโทรศพทเคลอนทตางๆและการบรการทตดตอโตยตรงกบผใชงานสงนสอใหเหนการสอสารทปลอดภยเหนอเครอขายไรสายและสายสญญาณเครอขาย ผใหบรการและผใชงานตองรบรองผอนและการคำานวณแพลทฟอรมควรจะรบประกนสงนนไมใชคำาแนะนำาจะถกเปดเผยระหวางการสอสารระหวางมน ผใหบรการยงจะตองปกปองพนฐานของโครงสรางเครอขายตอตานการรกราน

ทศนคตของผจาง - กจการเครอขายสามารถทจะทำาใหแนใจวาความปลอดภยของทรพยสนทงคณะผลประโยชนของบรษทปลอดภย สงนรนแรงโดยเฉพาะเมอกจการจดเตรยมเครอขายทงการเขาสายสญญาณและไรสาย การจำากดความทดกจการสายสญญาณเครอขายปลอดภยทมากอาจจะเปดอยางสมบรณใหผบกรกถาการขยายทางเขาไมมสายใหเครอขายกจการมนไมปลอดภยหลากหลายเทคนคความคด, เทอมและเทคโนโลยมการอธบายเพอปญหาความปลอดภยตำาแหนงทอยภายในสภาพแวดลอมเครอขายดตงตารางท 8.1

คำาศพท คำาจำากดความEncryption เปนกระบวนการเปลยนรปขอมล (ขอความทถอดรหสแลว

หรอขอความงาย ๆ) เขาไปในรปแบบ (รหสขอความ) ซงจะมแตทตวรบเทานนทสามารถจะอานได แตตองผานกระบวนการยอนกลบกอนจงจะอานได

Confidentiality

ความปลอดภยของหนวยงานซงรบรองไดวาไมเวนแตผทไดรบเจตนา เปนผทถอรหสผานสามารถรบหรอถายทอดขอมลไดระหวางผสงกบผรบ

Integrity ความปลอดภยของหนวยงานซงอนญาตผทไดรบเจตนาใหหาวธการปรบปรงตางๆ ของขอมลจากผสงทปฏบตงานเปนสามหนวย

Authentication

ความปลอดภยของหนวยงานซงสามารถตรวจสอบหลกฐานทแสดงวาเปนบคคลผนน วตถประสงคของขอมล หรอวธการดำาเนนงานได

Nonrepudia ความปลอดภยของหนวยงานซงรบรองขอความของผสง

tion จะไมสามารถลบทงขอความทสงกอนหนานไดCryptography

รากฐานทแนนอนของความปลอดภยทชวยทำาใหกลไกนนงายขน ม 4 อยางคอ ความลบ ความสมบรณ ความนาเชอถอ และการไมปฏเสธ

Secret key Cryptography

ชนดของกลไกทเกยวกบรหสลบซงผสงและผรบสามารถใชรหสผานเดยวกนเพอความปลอดภยของหนวยงาน

Public key/privateKey cryptography

อกชนดหนงของกลไกทเกยวกบรหสลบทงสองรหสทถกใชโดยเฉพาะ รหสรวมคอรหสทใครกสามารถทำาได และรหสสวนตวไดมาจากรหสสาธารณะและเจาของสามารถรเพยงคนเดยว และบางครงกเปนทไววางใจของหนวยงาน

สมมาตร keyencryption

การสรางกลไกรรหสลบซงอนญาตใหผสงและผรบใชรหสลบเดยวกน เพอสามารถเปลยนรหสและถอดรหสขอความได ถงแมจะถกเรยกการสรางรหสลบ

A สมมาตร keyencryption

การสรางกลไกรรหสลบในสวนขอความผสงทใชรหสสาธารณะของผรบ ในการเปลยนรหสขอความและผรบใชรหสสวนตวของเขาหรอเธอในการเปลยนรหส

Cipher ขนตอนการคำานวณทแนนอน ถกใชเปลยนรหสขอความทถอดรหสแลว

ขอความ digest

การกำาหนดขนาดทออกมาทศทางเดยวทประยกตใชในขอความทไมเจาะจงขนาด

ขอความauthentication code(MAC)

รหสของขอความนนคอการคำานวณพนฐานในบนขอความและรหสลบ เชน ผรบซงเปนผทถอรหสลบสามารถตรวจสอบความสมบรณของขอความได

Hash MAC(HMAC)

ความนาเชอถอของขอความนนคอการคำานวณการใชรหสลบในทศทางเดยว เชน MD5 และ SHA-1 และรหสผาน

คำาศพท คำาจำากดความ

Digital signature

รหสคอการคำานวณพนฐานบนขอความหรอรหสแฮชขอขอความและรหสสวนตวของผสง เชนวาใครกสามารถตรวจสอบความสมบรณของขอความการใชพลบบลคคยของผสง ผสง เซน ขอความ “ ” (ลายเซนดจตอลคอพลบบลคคยเหมอนกนกบ MAC)

Digital certificate

รปแบบของเอกสารใบรบรองอเลคทรอนคสตพมพโดยใบรบรองของหนวยงาน CA ในการรบรองรหสรวม ออกใหโดย CA ประกอบดวย หลกฐานของเจาของ , ใบรบรองรหสสาธารณะของเจาของ ชอผตพมพ (เจาหนาท เปนผตพมพใบรบรองดจตอล) , วนสนสดของใบรบรอง , และขอมลอน ๆ อก รหสรวมของเจาหนาทคอการกระจายดวยซอฟแวรแพคเกจ เชน เวบบราวเซอร และ อเมลซอฟแวร

Public key infrastructure (PKI)

โครงสรางพลบบลคคยทเปนพนฐานทถกใชสญญาณรบรองดจตอลโดย CA เพอสราง, จดการ, แบงและพสจนพลบบลคคยและคำาแนะนำาเอกลกษณทเกยวของของเขาทงหลาย

Pretty goodPrivacy (พจพ)

เทคนคทพฒนาโดย Phil Zimmermann ทใชการเขารหสคยทไมสมดลสำาหรบการเขารหสอเมลและความนาเชอถอระหวางสองเอกลกษณ

Authorization

กระบวนการของการอนญาตและการปฏเสธการบรการพเศษใหเอกลกษณทเปนพนฐานบนเอกลกษณของมนและนโยบายทตงขน

ตารางท 8.1 ระบบคำาศพทความปลอดภย

พงพาธรรมชาตของปญหาความปลอดภยทเจอในโทรศพทเคลอนทไรสายในโลก เราสามารถเปนแอดเดรสในหนงเลเยอรหรอมากกวาของสแตคโปรโตคอลเครอขาย เทคนคการปรบวทยเชนเดยวกนกบ FHSS สามารถถกใชเพอเตรยมความปลอดภยการสงสญญาณไวเลสทฟซคลเลเยอร การทำาอาจดำาเนนการตอบขอความโดยเพยงสงกลบตามจำานวนขอความทถกตองกอนหนาน ผรบอาจจะถกหลอกโดยขอความทถกตอง ในการตอตานการกระทำานผสงสามารถใชจำานวนเหตการณแตละขอความนนมอยในบางสวนของขอความท

ถกรกษาใหสมบรณ จำานวนของเหตการณทเพมขนทำาใหการตอบขอความไมเปนทยอมรบ

ระบบวทยาการเขารหสลบเปนความจรงของแผนการเขารหสลบหรอกลไกทสามารถรวบรวมเขาไปในคอมพวเตอรทวไปหรอระบบเครอขายทเตรยมบรการความปลอดภยเปนพเศษ ระบบวทยาการเขารหสลบสองประเภทเปนระบบคยทสมมาตรและระบบพลบบลคคยทไมสมมาตร ระบบคยสมมาตรดงเชนมาตรฐานการเขารหสขอมล (DES) และมาตรฐานการเขารหสชนสง (AES)

ใชคยลบเหมอนกนสำาหรบการเขารหสและการถอดรหส การตองการดงเชนทางทปลอดภยเพอจะแจกจายคย สำาหรบตวอยางโปรโตคอลการแลกเปลยนคยดฟฟ เฮลลแมน (จะอธบายในหวขอท 8.1.4) ระบเมธอดสำาหรบการแจกจายคยทสมมาตร ในทางตรงกนขามพลบบลคคยใชสองคยทแตกตางในการเขารหสและถอดรหส รปท 8.1 บงบอกวาการเขารหสลบคยสมมาตรและการเขารหสลบคยทไมสมมาตร ระบบพลบบลคคยทจำาเปนเตรยมหลกฐานสำาหรบการแกปญหาความปลอดภยตางๆ เพอทำาใหแนใจพลบบลคคยแททกระจายอยในเครอขาย พนฐานของโครงสรางพลบบลคคย (PKI) สามารถถกใชงานได (จะอธบายตอในหวขอท 8.1.3)

รปท 8.1 การเขารหสลบแบบสมมาตรและการเขารหสลบแบบไมสมมาตร

การเขารหสลบพลบบลคคยถกเผยแพรครงแรกในป1976 โดย Whitfield Diffie และ Martin- Hellman เหมอนแผนการสราง

รหสลบและความนาเชอถอระหวางผสงและผรบและเพอความปลอดภยในการสงผานของบางการตอรองดงเชนการเขาถงคยระหวางมน ในเอกสารนระบบการเขารหสลบคอระบบไฮบรดจทผสมกนทงการเขารหสลบแบบสมมาตรและการเขารหสลบแบบไมสมมาตร ระบบการเขารหสลบพลบบลคคยทนยมประกอบดวย RSA และ ECC

8.1.1 รหสลบและการรกษาขอความลบเนอหาแรกในความปลอดภยขอความเพอนำาขอความมาถอดรหสโดย

อดมคต แผนการเขารหสเชนนนจะไมทำาใหสงนนสามารถเสยทงหมด เพราะวามไมมวธใดทใชการไดจรงการกระทำาลงไปใหสำาเรจเชนนนทความปลอดภยไมมเงอนไข แผนการเขารหสถกออกแบบเปน การคำานวณทงหมดของความปลอดภยจากการเขารหสและการถอดรหส วธคดใชคยทเหมอน และดวยเหตนวธคดเชนนนคอ การเรยกวา สมมาตร วธคดคยสมมาตร วธคดคยอลกอรทมทจะไมสรางความเสยหายและการจดการของคยคอการทาทาย ความแขงแรงของวธคดเหลาการยดหลกขนาดของคยมากกวาความตองการการชดใชทจะเสยถาขนาดของคยความลบ การเขารหสคยสาธารณะใชคยยาวกวาการทำาการเขารหสสมดล คยจดการปญหาคอลดปญหาใหญเพราะวาคยสาธารณะเปนการเผยแพรและคยสาธารณะนนไมเคยกระจายนนไมตองการเปลยนคย

วธการเขารหสทสมมาตรใชพลบบลค/ไพรเวทคยสำาหรบนำาไปเขารหสและนำาไปถอดรหส ขอมลผใชงานเปนการระบแตละผใชโดยผจดการ ขอมลผใชงานกำาหนดลมตของผใชในการเขาถงเครอขาย ขอมลผใชงานเขาไปในรายละเอยดจำาเพาะดงเชน ขอมลและทรพยากรของเครอขายทผใชนนสามารถเขาถงและประเภทของการเขาถง รปแบบของการเขาถงเครอขายอาศยรหสผาน, การด หรอรหสผานหนงครงดวยรปแบบไบโอเมตรก เปนหลกของการเขาถง ผใชสามารถเขาสระบบโดยอาศยนว, มอ หรอแสกนมานตาโดยผานระบบไบโอเมตรก มนสะดวกและไมตองจำารหสผาน วธนเปนการใชในแอพพลเคชนการรกษาความปลอดภยระดบสง ในตอนทายจำานวนความพยายามการเขาใชคำาสงทใชเฉพาะและเหตการณระบบอนๆและเวลาทแสตมปโดยกระบวนการการทำาบญช การทำาบญชสามารถถกใชเพอตามรอยปญหาเชนเดยวกนกบการฝาฝนความปลอดภยหรอมนอาจจะถกใชเพอตรวจสอบสถตทใชวางบลขอมล

8.1.2 วธแฮชการเขารหสลบและขอความทสมบรณ

นอกจากขอความทสมบรณปญหาความปลอดภยอนๆคอวธทำาใหแนใจวาขอความสมบรณปกปองขอมลไดอยางไรระหวางสองกลม แฮชทางหนงถกแนะนำาสำาหรบจดประสงคน วธแฮชการเขารหสลบหรอวธแยกแยะขอความในการพจารณานตองครอบครองคณสมบตความปลอดภยดงตอไปน :

Fixed-length output - กำาหนดบางขนาดของขอความ มนตองสรางขนาดผลลพธทตายตว ขนาดไหนทพจารณาโคดอยางละเอยด

One-way – กำาหนดขอความ m และวธแฮช b มนงายทจะคำานวณ b(m) อยางไรกตามการแฮชโคด x และวธแฮช b มนคอผลจากการคำานวณทเปนไปไมไดทจะหา m ท h ( m ) = x

Collision resistance – เพราะวาวธแฮชไดผลการสงระหวางทวางโคดขนาดใหญเพอคำานงถงทวางโคดทเลกกวา การชนกนถกเกดขน ปญหาคอจะหาการชนกนไดอยางไรภายในความเหมาะสมของเวลา ผสงจะแฮชขอความหรอแฟมขอมล(สำาหรบการคำานวณผลรวมในการตรวจสอบ) เปนการโหลดโดยใชขนตอนการคำานวณดวยการแฮช เพยงทางเดยว (เชน MD5 หรอ SHA-1) ซงไดแนบผล (การวเคราะหขอความ) ไปในขอความและสงออก ในเวลาททำาการรบขอความ ผรบจะประยกตใชใหเหมอนกบการแฮชขนตอนการคำานวณสำาหรบเนอหาของขอความทไดรบถามนเขากบขอความทสงตอ หรอมฉะนน ขอความจะถกเปลยนในบางวธการไปยงผรบ และผรบอาจจะไมยอมรบขอความนน

ถาทำาการปลอมแปลงรหสแฮชของขอความทถกแกไขขนตอนแฮชอาจจะใชวธการถอดอาจจะใชการถอดรหสลบใหเปนประโยชนในบางสวน ของการใสขอมลทเพมเขาไปในขอความเพอทำาการสงตอ โดยสวนมาก MAC นนคอพนฐานของการคำานวณขอความและการถอดรหสลบ สามารถทำาการรบรองขอความใหมนคง ถาการคำานวณเปนการใชวธการแฮช เชน เทคนคทกลอมดวย HMAC, ซงขาดไมไดทจะใชถอดวธการแฮช และการถอดรหสทอปกรณในการแฮช HMAC เปนวธการทรจกกนด ประกอบดวย HMAC-MD5, HMAC-SHA1 และ HMAC-RIPEMD MAC สามารถคำานวณดวยการ กำาหนดสดสวนรหสเชน DES ตวอยางเชน ขอความสามารถเปลยนรหสในการวเคราะหขอความโยการใหรหสสวนตวสำาหรบผรบ รหสสาธารณะทอยใน

มอของผสง สามารถรบรองไดวาขอความนมาจากผสง แบบแผนนเปนการใชลายเซนดจตอลและจะอภปรายในสวนประกอบครงตอไป

ขอสงเกตทาย การทำาอาจจะดำาเนนการตอบขอความโดยเพยงสงกลบตามจำานวนขอความทถกตองกอนหนาน ผรบอาจจะถกหลอกโดยขอความทถกตอง ในการตอตานการกระทำานผสงสามารถใชจำานวนเหตการณแตละขอความนนมอยในบางสวนของขอความทถกรกษาใหสมบรณ จำานวนของเหตการณทเพมขนทำาใหการตอบขอความไมเปนทยอมรบ8.1.3 การรบรอง

สวนประกอบในการรบรวมกนคอ ลายเซนดจตอล, หนงสอรบรองดจตอล และ PKI ซงจะบรรยายในหวขอตอไป

ลายเซนดจตอลลากเซนดจตอล คอ ผรบไดทำาการรบรองไดวา ผสงขอความทแทจรงซง

เปนผอางสทธเรยกรองและขอความตองไมมการแกไข ซงเหมอนกบในโลกแหงความจรง ผสงไดเซนขอความ และผรบสามารถตรวจสอบสงทแทจรงของความโดยการดจากลายเซนดจตอลในคาอน ลายเซนดจตอลจะเสนอสงทแทจรงของผสงและความทสมบรณ

ลายเซนดจตอลและการตรวจสอบขอเทจระหวาง 2 กลม แสดงดงรปท 8.2

ผสง: การจดเตรยมขอความทถอดรหสแลวเพอทจะสง (เชน อเมลล หรอ

แพคเกจ) แฮช ขอมลการใชวธการแฮชรหสลบ ทำาใหมการวเคราะหขอความ การ

แฮชไมสามารถถอดได การวเคราะหการเปลยนหสขอความดวยรหสสวนตวของผสงซงทำาให

ลายเชนดจตอล มลกษณะทจะแสดงตวผสง การลงนามลายเชนดจตอลในขอความทถอดรหสแลวและสงไปยงผ

รบ แนนอนวาขอความนนสามารถเปลยนรหสโดยใชสดสวนทรบกนหรอรหสสดสวน

ผรบ:

ใชรหสสาธารณะของผสงในการถอดรหสลายเชนดจตอล ลายเชนดจตอล เปนผลใหใชในขนตอนตอไป

แฮช การรบเนอหาขอความดวยวธการเหมอนกน ใชโดยผสง เปรยบเทยบวเคราะหการถอดรหสขอความคำานวณผลจากขนตอน

กอนหนา ถาเหมอนกน ขอความตองเรมจากผสง และขอความตองไมมการเปลยนแปลง

ตอนนมาดกนวา ถาการลงมอทำาสามารถแสดงตวผสง นอกจากรหสสวนตวของผสงแลว การกระทำาไมมทางทจะทำาใหเกดลายเซนดจตอลทถกตองสำาหรบขอความเพราะวาในดานผสง หลงจากขอความทเปนแฮช ผลลพธจะไมเหมอนกนกบผลหลงจากการถอดรหสลายเชนดจตอล ในทางตรงกนขาม การงมอทำาทมการใชความโนวนาวดวยเนอหาขอความของผสง กจะไมประสบความสำาเรจดวย สำาหรบรหสแฮชของขอความทไดรบ จะทำาใหกลายเปนวาไมลงรอยสำาหรบการโอนไปในลายเชนดจตอล

รปท 8.2 ลายเซนดจตอล

PKI และใบรบรองดจตอลระบบรหสลบทไมสมสวน (หวขอขางตน) รบหนาทจำาแนกออกจากรหส

สาธารณะอนๆ ปญหาสาธารณะทแทจรง คอ คนไดถอรหสสาธารณะอยางไร กบคนอน สามารถแนใจไดวารหสทำาไดแนนอน คกบบคคลทเหมาะสม อะไรททำาใหการแจกจายทไมมความปลอยภยทงหมด ตวอยางคอ การลงมอแจกจายรหสสาธารณะปลอมของผเคราะหราย

สถาปตยกรรมทวไปอยทจดสำาคญนคอโครงสรางพนฐานรหสสาธารณะ (PKI) ในระบบ PKI ใบรบรองอำานาจ (CA) มรหสสาธารณะแตรหสสวนตวจะไมมใครรในระบบนน CA PKI จะบรรยายในรป 8.3 (A) การเชอมตอระบบ PKI ผใชตองทำาใหเกดกบเขาเหรอเธอทเปนเจาของรหสสาธารณะและเรยก CA ในการรบรองรหสสาธารณะ CA จะตรวจสอบหลกฐานและสงทเกยวขอกบรหสสาธารณะ CA จะเซนเอกสารดจตอลเรมดวยรหสสาธารณะทเหมาะสมกบบคคลในคำาถาม เอกสารดจตอลนไดรบรองดจตอล และควรทจะสงใหผรบไมวาเวลาไหนกตาม บคคลจะตดตอกบบางหนวยงานทเปลยนรหสสาธารณะหรอลายเซนดจตอลเพราะวาทกคนในระบบ PKI รวารหสสาธารณะของ CA พวกเขาสามารถตรวจสอบสงทแทจรงของใบรบรองและรหสสาธารณะของผสงดวย ใบรบรองโดยปกตแลวจะประกอบดวยหลกฐานของเขาของ ลายเซนของ CA และวนทสนสด ตาราง 8.2 ไดแสดงขอมลทใชงานรวมกนในใบรบรอง จะขนอยกบมาตรฐาน X.509 ซงไดกำาหนดมาตรฐานไว

รปท 8.3 ลกษณะโครงสราง PKI

ในความเปนจรงระบบ PKI เปนการรวบรวมหลายระดบชนในระบบแบงลำาดบในการแบงกลมใบรบรอง และ การตรวจสอบ จำานวนของ CAS, ทแสดงในขอ 8.3(B)สงทสำาคญของตนไมคอราก CA เปนผททำาหนาทดแลผใชงานทกคนและ CA อนๆ สำาหรบผลลพธ ความสมพนธในการผกมด

สามารถพบไดเสมอจาก CA ระดบขอมลภายในระบบการแบงลำาดบ การตรวจสอบจะทำาเหมอนกบ DNS (Domain name server)ตวอยางเชนในระบบ CA ลำาดบสองใหใบรบรองใบรองรบรหสสาธารณะของผใชประกอบดวยสองสวนคอ 1 การสงขอความโดยใช CAS ระดบ 2 ไปยง CAS ลำาดบตำากวา 2 การสงขอความโดย CA ระดบตำาผรบผดชอบรหสสาธารณะของผสงคนสดทายรปแบบนจะรบปดชอบในการผกมด CAS ทงสองและแนวทางการรบรองสามารถควบคมดแลดงนนทกสวนจะรบการคดเลอกในการรบรองขอมลผสง (ใบรบรองทดของการรบรอง CA) ตองคำานวณรหสสาธารณะใน CA ระดบตำากวาและตอไปเปนใยรบรองทรบมา จำานวนระดบทเพมขน การตรวจสอบใบรบรองทกำาหนดมากกวาการคำานวณ ความแตกตางของการแบงลำาดบ PKT เปนรายการรบผดชอบสถาปตยกรรมในบางสวนของ CAS ระดบสงรายการแบงลำาดบอนๆ การผกมดความรบผดชอบแทนราก CA

สถาปตยกรรม PKI ทประสานกน จะแสดงในขอ 8.3(c) มนไมไดรบผดชอบอยางเปด ราก CA ในการผสาน PKI CA ทเขากบ PKI อาจจะเลอกอาจเปนกลมยอยของ CAS อนผใชตองรบปดชอบเสมอในการรบรองสวนของ CA ทสามารถนำาไปใชในการเชอตอการแบงลำาดบ PKI ใหเขากบ PKI มนไมใชราก CA ทถกรบผดชอบโดยทกคนตรงกนขามมนใช CA สวนกลางรวมกนในการผกมดความรบผดชอบ

ฟลด คำาอธบายVersion หมายเลขเวอรชนSerial number ไอดพเศษของใบรบรองCertificate signature algorithm

การเขารหสลบและวธแฮชทถกใชเพอสรางลายเซนในใบรบรอง

Issuer ไอดของจำานวน CAValidity ระยะเวลาสำาหรบระยะเวลาไหนทรบรองโดยสมบรณSubject เจาของคำาแนะนำาSubject public key info

วธพลบบลคคยของหวขอ (เชน RSA) และพลบบลคคย

Extensions คำาแนะนำาเพมเตมเกยวกบใบรบรองCertificate ลายเซนของ CA

Signature Value

ตารางท 8.2 ฟลดในลายเซนดจตอล

8.1.4 การจดการคยในการใหขอมลการจดการคยทผานระบบการสราง การแบงสรร และการ

ตรวจสอบรหสลบมนมผลอยางไรซงจะปรากฏชดเจนในรหส ตรงน เราจะนำาไปสคยดฟฟ เฮลลแมน (DH) ทแลกเปลยนโปรโตคอล RSA และ ECC

คยดฟฟ เฮลลแมนแลกเปลยนโปรโตคอลคย DH แลกเปลยนโปรโตคอล ใหความหมายสองสวนทยอมรบในการรหสลบทเหมอนกบบนชองทางการสอสารทไมมนคง มนงายจากแตละสวนสงไปยงตวเลยซงมนคำานวณโดยการเลอกตวเลขกบตามลำาดบ ความเหมอนของรหสลบคอพนฐานการกำาหนดจำานวนทไดรบจากสวนอนๆอยางไรกตามตวจำานวนถกสงไปยงชองทไมมนคง มนเปนการคำานวณทยงยากสำาหรบสามสวนในการเอารหสลบกลบคนมา รหส DH แลกเปลยนโปรโตคอลใชคกนของจำานวนทเปนไปได (p และ g) พรอมดวยจำานวนทเปลยนแปลโดยบงเอญของผใชสำาหรบการคำานวณตวเลขลบในกรณ p คอตวเลยทสำาคญขนาดใหญ g คอตวเลขเตมทนอยกวา p p และ g จะปฏบตตามคณภาพ สำาหรบตวเลขอน n ระหวาง 1 และ p - 1 ประกอบดวย m เชน n = gm mod p แตละ 2 สวนในรหส DH และเปลยนโปรโตคอลจะเกดกอนการเปลยนแปลงโดยบงเอญมาพดถงการเปลยนแปลงของ a และ b กบแตละสวนคำานวณไปยง ga mod p และ gb mod p และเขาจะเปลยนผลลพธตอมาจะทำาการแบงรหสลบ(k)สามารถไดมาจากการคำานวณ k = [(gb) mod p]a mod p ทแตละสวนใชเครองหมาย[(gb) mod p]a mod p = [(ga) mod p]b mod p = (gab) mod p การตดตอสวน n ไมตางไปกวานการตดตอสวน 2 จะรไดจาก a และ b ดงนนมนเปนไปไมไดในการคำานวณ k โดยใช p, q และคา ga mod p และ gb mod p

สงเกตไดวาถงแมวาทงสองดานสามารถยอมรบรหสลบไมมทางสำาหรบแต ทจะมนใจวาฝายอนเปนบคคลทแทจรงทเขาตองการตดตอหมายความวา ไมรบรองในการปฏบตระหวางรหสการปฏบตการแลกเปลยนการเปดโปรโตคอลนเพอบกรกสวนกลาง ผลงมอสามารถอานและแกไขขอความ

ทงหมดระหวาง 2 สวนคอลายเซนดจตอลสามารถประยกตใชในกรณนทจะปองกนการโจมตของบกรกสวนกลาง

RSAออกแบบโดย Ron Rivest, Adi Shamir และ Len Adleman RSA เปนอลกอรทมพลบบลคคย โดยจดเตรยมลายเซนดจตอลและการเขารหสลบพลบบลคคย RSA เปนอลกอรทมพลบบลคคยทถกใชใน pretty good privacy (PGP) คยทกำาเนดขนใน RSA อาศยขอเทจจรงทการทำาการคาขายแทนบรษทตวเลขมากมายมากเปนผลทไดจากการคำานวณทเปนไปไมได คย RSA มความยาวโดยทวไป 1024 ถง 2048 บตมากกวาเลขทมากทสดทเคยมของบรษท ขอความถกเขารหสลบโดยใชพลบบลคคย ของผรบเพอถอดรหสขอความ ตองรวาไพรเวทคยสมสวนกนกบพลบบลคคย มอบใหพลบบลคคยและรหสลบขอความ ผบกรกตองปจจยตวเลขมากในพลบบลคคยขางในสองเลขสำาคญในเรองการพจารณาไพรเวทคย นอกจากนใหการสรางรหสลบขอความ RSA เตรยมลายเซนดจตอลยอมใหผสงทำาสญลกษณขอความโดยการใชไพรเวทคยดงนนไมมใครทจะสามารถปลอมขอความจากผสงยกเวนวาผนนจะรไพรเวทคย RSA ถกจดสทธบตรในอเมรกาในป 1983 หมดอายในป 2000

Elliptic Curve Cryptographyทางเลอกถง RSA elliptic curve cryptography (ECC) มลกษณะใกลเคยงวทยาการรหสลบพลบบลคคย มนถกเสนอขอคดเหนอสระโดย Victor Miller และ Neal Koblitz ในกลางป 1980 ECC อาศยคณสมบตของ elliptic curve ในพชคณตเรขาคณต elliptic curve กำาหนดโดยสวนหนงของจด(x, y) เหนอทวางสองทดงน y 2[+x . y] = x3 + a . x2 + b เทอมไหนในในเครองหมายวงเลบจตรสทสามารถกำาหนดเพมเตมได ECC ยอมใหสงหนงเลอกเลขลบเหมอนไพรเวทคย สงไหนทถกใชเพอเลอกจดบน elliptic curve คณสมบตทดของ elliptic curve คอการทมนใชกลมทงสองทจะคำานวณคยลบอาศยไพรเวทคยเปนหลก (เลขทเลอก) และพลบบลคคยของสงอนคยลบเฉพาะใหสองกลมนเปนผลลพธของทงสองไพรเวทคยนนและจดพนฐานพลบบลค กลมทสามไมสามารถรบคยลบไดโดยงาย NIST มการเผยแพรสนบสนนหาขนาดสมมาตรของคย (80, 112, 128, 192, 256) ECC ทวไปถกใชเหมอนแบบ

ไมสมมาตรทยอมใหคยทขนาดเลกกวา RSA อปสรรคของ ECC คอกระบวนการคำานวณเกยวของกบ elliptic curve

การจดการคยในระบบวทยาการรหสลบทสมมาตรกำาหนดปญหาทแตกตาง ใชการไหลของรหสการสอสารระหวางสองกลมสามารถนำามาเขารหสดวยคยลบเทานนทรทงสองกลม โดยธรรมชาตมนดกวาทยอมใหสองกลมทความถเปลยนคยลบเพอลดความเสยงของขอความบกรกซำาและหยดรหส ดงเชนสองกลมอาจจะเหนดวยกบคยลบใหมสำาหรบสวนใหมแตละอนระหวางมน คยลบถกอางถงเปนเหมอนสวนของคย ในสงแวดลอมเครอขายทซงโนดจำานวนมากมการสอสารกบอนๆ สวนของคยสามารถเปนเนอหาโดยกลมทไววางใจกลมทสามทกเวลาสองโนดตดตอกน แผนงายดายนตองการโนดทมคยลบเทานนถกแชรกบกลมทไววางใจกลมทสามบรรเทาจากการบำารงรกษาคยลบสำาหรบทกโนดอนในเครอขาย ตวอยางหนงตวอยางของระบบนนคอ Kerberos (http://web.mit.edu/kerberos/www/)

เพราะหมายเหตลาสดในสวนนาเชอถอระบบ GPS/GPRS ใชกลไกรบรองเทคโนโลยเฉพาะ(วธA3) สำาหรบความนาเชอถอระหวางสถานพนฐานและสถานโทรศพทเคลอนท วธA3 รวมทงวธคดการสรางรหสลบ A5 และวธการจดการคยA8 จะพดถงในหวขอท 8.2

8.1.5 การปฏเสธไมไดการปฏเสธไมไดอางถงฟงกชนความปลอดภยของระบบทเปนผลทปรากฏเพอพสจนวาโอเปอเรชนมการปฏบตโดยเอนตต ยกตวอยางผรบขอความควรจะถอชนหนงชนของเอกสารอางองอเลกทรอนกสสำาหรบขอความทผสงไมยอมใหขอความสงผาน ในทางตรงกนขามผสงสามารถทจะแสดงวาผรบนนไดรบขอความ การปฏเสธไมไดของแหลงกำาเนดพสจนวาขอความนนถกสงแลวและการปฏเสธไมไดของการสงวาขอความนนไดรบแลว

การปฏเสธไมไดเพราะผสงผรบสามารถบอกปดหลงจากรายการมนถกสญญา ลายเซนดจตอลถกเพมเตมใหขอความสงโดยผสงหรอยอมรบทสรางโดยผรบสามารถถกใชเพอจดเตรยมการปฏเสธไมได ในกรณนลายเซนดจตอลบรการอยางชดเจนสำาหรบการปฏเสธไมไดของแหลงกำาเนดและการสงเพราะวาเจาของลายเซนดจตอลเทานนทรไพรเวทคยของตวเขาเอง ทบคคลไมสามารถปฏเสธการสงผานของสญลกษณขอความใดๆโดยลายเซนดจตอลของเขาเองการใสรหสผานหนงครงคอแผนอนๆทจะเขาใจฟงกชนการปฏเสธไมได

8.1.6 โปรโตคอลความปลอดภยเครอขายเรามการพจารณาแผนความปลอดภยสำาหรบขอความลบเฉพาะ ความสมบรณขอความและความเชอมนขอความ แผนโดยทวไปถกใชเพอความปลอดภยชองสญญาณการสอสารระหวางสองกลม ระดบอนๆของความนาเชอถอเปนสงทเกยวของกบความนาเชอถอของผใช (ตวอยางเชน พสจนรปพรรณของเอนตตเพอปองกนทางเขาขอมลทไมไดตงใจเขาหรอทปลอมแปลงเขามา) เรยกคยรหสลบสมำาเสมอทถกใชในกลไกความปลอดภยขอความศนยกลางเหลานนกลบ ตอนนใหเราสนนษฐานวาชองสญญาณการสอสารพอยดทพอยดถกรกษาความปลอดภยและดททประกอบดวยเครอขายของทมากกวาสองโนดในผใชคนไหนทนาเชอถอเปนผทเกยวของกบความนาเชอถออนแทจรงกบการพจารณาใหทางเขาขอมล เปนตนวาในการตงคาโดยทวไปผใชเลอกทจะลอคอนเขาในระบบ(กลมของแมชชน)เพอนอานและเขยนไฟลทถกเกบบางแหงในระบบ ผใชตองตอตานความนาเชอถอบางเครองหมายความปลอดภยทจดการทลอกอนเซฟเวอรกอนทความประสงคจะถกอนญาต

แตละบญชในระบบมลตยสเซอรถกกำาหนดรหสผาน ผใชสามารถเปลยนรหสผานของตวเองไดแตตองเชอบางรหสผานทำาขนเพอหลกเลยงผใชของรหสผานทงายเกนไป สำาหรบบางโปรโตคอลความปลอดภยเครอขายการลางขอความรหสผานควรจะไมเคยถกสงบนเครอขาย นเปนเหตผลวาทำาไมโปรโตคอล Telnet ทเคยนยมถกละทงในเครอขายทกวนน ในลอคอนเซฟเวอรโดยปกตรหสผานของผใชถกแบงยอย รหสผานทดควรบงคบใหผใชงานเปลยนรหสผานนานๆท นอกจากนความหมายอนๆของลกษณะมนษยสามารถใชเพอแทนทรหสผาน การพฒนาเมอไมนานในไบโอเมตรกแนะนำาวาการพมพลายนวมอ, เสยง, ใบหนาและมานตา สามารถบงบอกลกษณะของมนษยดวยมากกวาความปลอดภย เทอมไบโอเมตรกอางถงระบบและเทคนคทสรางใชคณลกษณะของรางกายของบคคลนนสำาหรบการพสจนและความนาเชอถอ คณลกษณะของบคคลรวมถงพมพลายนวมอ, รปแบบใบหนา, เสนลายมอ, มานตา, จอประสาทตา, รปแบบเสยงและลานเซน

การเรยกรองและการตอบสนองสำาหรบแผนการเรยกรองและการตอบสนองการเขาสเซฟเวอรของระบบสมขอความ(การเรยกรอง)ใหผใชผซงรบรองระบบ ผใชงานใชฟงกชนความ

ปลอดภยเพอเรยกรองและสงผลใหการลอกอนเซฟเวอรอนไหนเหมอนกบฟงคชนความปลอดภยและเปรยบเทยบผลนนกบของผใชงาน แผนการเรยกรองและการตอบสนองสามารถถกใชในการตงคาตางๆ เปนตนวามนถกใชเพอเปนเครองมอในการใสรหสผานหนงครง ในแตละรหสผานกลายเปนรหสถกตองหลงจากทมนถกใช สงเพมเตมฟงกชนความปลอดภยของตวมนเองสามารถเปนความลบได ในผลกระทบไมมรหสผานถกสงไปบนเครอขายและหวขอขอความเพอกนสงทแตกตางทกเวลา ดงนนสรปวาอาจเปนไปไดทการบกรกเขามาลอบฟงจะสำาเรจ

KerberosKerberos (http://web.mit.edu/kerberos/www/) เปนพนฐานคยลบโปรโตคอลความนาเชอถอเครอขาย (ดทรป 8.4) ชอ Kerberos มาจากนยายของกรซ (Kerberos เปนสนขสามหวทเปนยามรกษาทางเขานรก)

รปท 8.4 Kerberos (เวอรชน 5)

1) Alice ถกรบรองโดย AS2) AS ผลต TGT3) Alice สง TGT และลกษณะของเธอ นำามาเขารหสโดยเซสชน

คยให TGT

4) TGS พสจนความตองการของ Alice และเซสชนคยทสรางสำาหรบการสอสารระหวาง Alice และ Bob และตวการบรการสำาหรบ Alice ใหผานไปถง Bob ได

5) Alice สงตวบรการให Bob และลกษณะทนำามาเขารหสโดยเซสชนคยอนใหม

6) Bob พสจนลกษณะของ Alice กบตวบรการ7) Alice และ Bob เรมมการสอสารกนโดยใชเซสชนคยใหม

Kerberos สามารถถกมองเปนการแจกจายบรการความนาเชอถอทยอมใหโปรแกรมคอมพวเตอร (ไคเอนท) รนบนตวแทนของตวสำาคญ (ผใชงาน) เพอพสจนลกษณะใหเครองทวนสอบ (เซฟเวอร) ในหวใจหลกของ Kerberos คอ key distribution center (KDC) สงไหนทประกอบดวยสองสวนประกอบอยางมเหตผลอสระ: authentication server (AS) ticket-granting server (TGS) ผใช (Alice) ใครทตองการจะสอสารกบผใชงานอน (Bob) ตองไดรบการรบรองจาก AS กอนเพอทำา สงนAlice ตองใชคยลบของเธอ (ตวอยางเชน รหสผานของเธอ) เพอเขารหสการเรยกรองการสงจาก AS AS ผลต TGT ไหนถกบรรจการเขารหสเซสชนคยโดยคยลบของ Alice (รหสผาน) สำาหรบการสอสารทกำาลงจะเกดขนระหวาง Alice และ TGS และหลกฐานรบรองทใชเพอลกษณะความตองการของ Alice เพอเขารหสคยลบของ TGS โดยคยลบของ TGS (สงไหนเปนสงทไมรถง Alice) และเซสชนคย ตอมา Alice สง TGT รวมทงการรบรอง (ยกตวอยางเชน ลกษณะของ Alice ถกเขารหสโดยเซสชนคยของ Alice และ TGS) ให TGS มนคอ TGS ทในขนตอนสดทายสรางเซสชนคยสำาหรบการสอสารทกำาลงจะเกดขนระหวาง Alice และ Bob หลงจากทไดพสจนขอมลในตวและถกรบรองแลว ในขณะเดยวกนตวบรการ (เขารหสโดยคยลบของ Bob) สำาหรบ Alice เพอผานไปหา Bob ไดถกสรางขน

ในตอนทาย Alice สงตวบรการและการรบรองทตรงกนใหBob (ลกษณะของเธอเขารหสโดยเซสชนคยของเธอเอง) ใครเปนคนพสจนถาลกษณะในตวบรการและการรบของของ Alice วาตรงกน ถาใช Bob และ Alice สามารถเรมตนการสอสารกนดวยเซสชนคย ถา Bob ลอคอนเขาเซฟเวอรของระบบเครอขายเชนเดยวกนกบในวนโดวโดเมน Kerberos กจะถกใชเพอรบรองผใชใหเขาสทรพยากรแชรในเครอขาย Kerberos พงพา

time-stamp และ lifespan parameter เพอปองกนการบกรก ความตองการน ตงเวลาใหพรอมกนกบเครองจกรทมสวนรวม

ความปลอดภยโปรโตคอลอนเทอรเนตความปลอดภยโปรโตคอลอนเทอรเนต (IPSec) คอชดของโปรโตคอลและกลไกทวาจดเตรยมเปนความลบขาวสารอยางหมคณะ, ความสมบรณขาวสารและนาเชอถอขาวสารทชนไอพ ขนอยกบไมวาระบบสนบสนน IPSec ไอพสามารถสงใหอยในสงหนงของสองโหมด โหมดการขนสง หรอทำาโหมด ในโหมดการขนสง, นำาหนกบรรทกทใหรายได ไอพ ถกทปลอดภยในแงของความสมบรณขาวสาร และนาเชอถอเมอโปรโตคอล authentication header (AH) ถกใช หรอเปนความลบเมอ encapsulating security payload (ESP) โปรโตคอลถกใช แตหวขอ ไอพ ไมไดรบการคมครอง ในการทำาโหมด หวขอไอพใหมถกใชเพราะถกปฏบตตามโดยเขารหสไอพแพคเกต

IPSec จดเตรยม ESP และโปรโตคอลสำาหรบความปลอดภยขาวสาร, เพราะแสดงในรปภาพ 8.5 โปรโตคอลตดสนใจวธระบบ IPSec ใชหวขอ สงซงรหสเนอสบหรอเนอหนทบางครงในบรรดาฟลดไมมการเปลยนแปลงในแพคเกต ไอพเพราะความสมบรณขาวสารและความนาเชอถอแหลงกำาเนด ในความตรงกนขาม, โปรโตคอล ESP จดเตรยมเปนความลบขาวสาร นอกจากนยงใหความสมบรณขาวสาร และความนาเชอถอ ในโหมดการขนสง, หวขอ ESP ถกใสหลงจากทเปนตนฉบบหวขอไอพ, และทเปนตนฉบบ ไอพ นำาหนกบรรทกทใหรายไดคอถกการนำาขอความมาเขารหส ในการทำาโหมดหวขอไอพใหมถกใชสำาหรบทำาเพราะถกปฏบตตามโดยหวขอ ESP และโดยการนำาขอความมาเขารหสไอพแพคเกต ในทงกรณความสมบรณขาวสาร และความนาเชอถออยภายใตเงอนไขโดยฟลดนาเชอถอ ESP ทเพมเตมทจบของแพคเกต

นอกจากน คยอนเทอรเนตแลกเปลยน (IKE) โปรโตคอลถกสนบสนนกบการจดการคยสมดล โปรโตคอล IKE คอลกผสมของสามโปรโตคอลการจดการคย สมาคมความปลอดภยอนเทอรเนต และโปรโตคอลการจดการคย (ISAKMP), Oakley และ SKEME (คยทปลอดภยอจฉรยะแลกเปลยนกลไกสำาหรบอนเทอรเนต) งานโปรโตคอลเหลานดวยกนเพอยอมการเจรจาไดนามคของคยเครองเขยนรหสหรออกษรลบการใชคย DH แลกเปลยนวธคด

IPSec เคยกวางขวางเพมเครอขายสวนตวแหงการมองเหน (VPN) สงซงทำาใหสามารถเขาทปลอดภยสเครอขายระยะไกลผานทางอนเทอรเนตสาธารณะ

รปท 8.5 IPSec

ชนซอคเกตทปลอดภยไมเหมอน IPSec ซงทำางานทชนไอพ, ชนซอคเกตทปลอดภย (SSL) และมนเปนผสบทอด transport layer security (TLS) คอโปรโตคอลความปลอดภยเครอขายทชนการขนสง SSL และ TLS การสนบสนนการเชอมตอใดๆโปรแกรมทปรบตวทำาใหเปนชนโปรโตคอลเหมอน HTTP (HyperText Transport Protocol), LDAP (Lightweight Directory Access Protocol), IMAP (Internet ขอความ Access Protocol) และ NNTP (เครอขาย News Transport Protocol) ในความเปนจรง SSL และ TLS ทถกใชสวนใหญใชรวมกบโปรโตคอล HTTPS ใหการคมนาคมทปลอดภยระหวางเวบเซฟเวอรและไคเอนทเวบและ TLS กำาลง เพมขนทใชกบโปรโตคอลโปรแกรมอนๆเชนเดยวกนกบ POP3 (Post Office Protocol 3) และ SMTP (Simple Mail Transfer Protocol) พนฐาน HTTPS ตวเลขพอรตบน SSL ถกเปดใชงานบนเวบเซฟเวอรเปน 443 SSL ตองการใบรบรองเครองแมขายเครองแมขายจนสามารถถกรบรองเปนของแทโดยไคเอนทหรอบราวเซอรซงเหนดวย RSA public/แผนการสรางรหสไพรเวทคย การจราจรเวบตอมาคอถกการนำาขอความมาเขารหสดวยบต 128 คน หรอคยสวนทสรางโดยเลขศนยสมมาตร เชนเดยวกนกบ DES, 3DES,

RC2 หรอ RC4 SSL ยงสามารถคนเคยรบรองเปนของแทไคเอนท ในกรณนไคเอนทตองรบสาธารณะ/สวนตวคคย และใบรบรองดจตอล

8.1.7 การพจารณาทวไปของความปลอดภยซงเคลอนทได และความลบความปลอดภยซงเคลอนทได และความลบครอบครองอยางสงจำาเปนสวนหนงของลกษณะทมอนเดยวทแยกออกมาทนนพวกเขาจากความปลอดภยเครอขายตดตงระบบสายลวดเชนโทรเลข เชนเดยวกนกบการสงผานกลางแจงของลวดเปนสญญาณเลกนอย พลงทคำานวณตำาเกยวการเปรยบเทยบของอปกรณซงเคลอนทได อตราขอผดพลาดสงของโทรศพทไรสายเปนสญญาณการสงผาน การจดการความปลอดภยสำาหรบความสามารถในการเคลอนไหวและตำาแหนงความเกยวพนความปลอดภยไวตอความรสก ตองการสำาหรบความปลอดภยแขงแรงกวามากกวาในเครอขายตดตงระบบสายลวดเชนโทรเลข ถงอยางนนเพอสรางสงหนงตองระบบไมมสายซงเคลอนทไดทปลอดภยอางองตำาแหนงความหลากหลายของการบงคบทมอนเดยวทสงแวดลอมไมมสายซงเคลอนทได การแกปญหาความปลอดภยจำานวนหนงเชนเดยวกนกบเลขศนยเครองเขยนรหสหรออกษรลบเหลานน และโปรโตคอลเครอขายความปลอดภยอาจจะไมทำางานตอโทรศพทเคลอนททกำาลงคำานวณสงแวดลอม เปนตนวาผลทไดจากการคำานวณเลขศนยเขมขนอาจจะไมงานบนอปกรณซงเคลอนทไดและในกรณจำานวนมากมายการเชอมตอเครอขายคงททตองการโดยแผนนาเชอถอเครอขายจำานวนมากมายไมทมใหตลอดเวลา

ถงแมวากลไกความปลอดภยจำานวนหนงสามารถถกพอรตใหระบบไมมสายซงเคลอนทได, เขาจำาเปนตองถกขยาย กบสวนประกอบซบซอนกอยางนนเปนความลบการจดเตรยม, ความสมบรณ, นาเชอถอและไมยกเลกในการตงคาโทรศพทไรสายโทรศพทเคลอนททหลากหลายอยางมาก นอกจากน โปรโตคอลเครอขายจำานวนมากมายถกออกแบบโดยปราศจากความปลอดภยในความคดและจำาเปนตองถกขยาย กบการพจารณาความปลอดภย เปนตนวาโปรโตคอลการจดเสนทางในเพอความประสงคโดยเฉพาะเครอขายตองกลายเปนความปลอดภยจำานวนหนงทจะปองกนการลอบฟง และการลกลอบตอสายดกขอมลขาวสาร ปฏบตตามคอรายการของการคกคามในเครอขายไมมสายซงเคลอนทได

ความเสยหาย และการขโมยของอปกรณซงเคลอนทได - ทกปอปกรณซงเคลอนทไดถกสญเสยในสนามบน, โรงแรม, ภตตาคาร,

อนๆ สงนซงเปนไปไดมากอยางมากการคกคามจรงจงสวนมากใหขอมลกจการ และความลบสวนตว

ชองสญญาณทลอบฟง - ผโจมตอาจจะจบขาวสารทสงไปในชองสญญาณไมมสายโดยปราศจากการเปนอยทตรวจสอบ

เอกลกษณทการรนเรงสวมหนากาก - ผโจมตอาจจะปลอมแปลงผใชถกตองตามกฎหมาย หรอผเตรยมการบรการ

ขาวสารเลนซำา - ผโจมตอาจจะจบซงเปนอนกรมของขาวสารระหวางสองพารต และสงพวกเขาใหใครบางคนตอมา

ผบกรกคนกลาง- ผโจมตอาจจะขดขวาง และแกไขการเปนอยขาวสารทสงระหวางสองพารต หรอฉดขาวสารใหมโดยปราศจากการเปนอยทตรวจสอบ

โทรศพทไรสายเปนสญญาณการการอดและการแทรกแซง - ผโจมตอาจจะใชเสาอากาศ ทรงพลงทจะสงไปดงเปนสญญาณ กบการปรบเหมาะสมตามลำาดบทจะทำาใหยงเหยงการคำานวณปรกตของเครองรบวทย

การปฏเสธของการบรการ-ผโจมตอาจจะใชคนพาลเขาถงจด, สถานซงเคลอนทไดหรอความถอยางจำาเพาะเจาะจงทกำาลงการอดอปกรณทจะสรางจำานวนใหญโตของเนต-ทำางานการจราจรไปยงคอมพวเตอรเปาหมาย

สงครามทขบและไมเปนทางการเขาถง - ผโจมตอาจจะใชอปกรณวทยพเศษใหปลาเขม ไมรกษาความปลอดภยโทรศพทไรสายเขาถงจดในพนทขณะทขบรอบๆ เหลานนไมรกษาความปลอดภยแลนโทรศพทไรสายจำานวนมากมายสงซงถกเชอมสเครอขายทงคณะถกเปดกวางเพอไมเปนทางการผใช

ไวรสและโทรศพทไรสาย สแปมมง ทเลกโปรแกรมมงรายอาจจะ–เผยแพรทามกลางผใชอปกรณซงเคลอนทไดผานทางการบรการขาวสารสน(เอสเอมเอส)ขาวสาร หรออนเทอรเนตไมมสายเอสเอมเอส สแปมมง สามารถเนอหาใหญอนๆเพราะผบรจาคจะตองคาจางสำาหรบสงนน

ในสวนดงตอไปน ความปลอดภยประกาศในเครอขายไมมสายอยางจำาเพาะเจาะจงถกกลาวถงในรายละเอยด

8.2 ความปลอดภยเครอขายเซลลลารเพราะโปรแกรมซงเคลอนทไดมากกวาคอกำาลงททสงใหใหผใชโทรศพทเซลล, กลไกความปลอดภยทใชโดยระบบเซลลลารดงเดมอยขางใตจำาเปนตองออกแบบเพอปรบตวใหการตงคาเครอขายใหมตางๆ ยงกวานน, เนองจากกวางใหญใชเพราะโทรศพทเซลล และโทรศพทสมารต, การฝาฝนความปลอดภย หรอเครอขายโจมตอาจจะมการกระทบมหมาบนทกลกษณะของสงคมสมยใหม, ไกลขางหลงขอบเขตของอนเทอรเนต การโผลออกมาระบบเซลลลารมภายใตเงอนไขตงใจการสงผานขอมลไมมสายทปลอดภย และรายการพาณชย นอกจากนใหถาหากวานาเชอถอทวไปมากกวาอำานาจทไดมอบหมาย และการแกปญหาวชาการทำาบญช (AAA)

8.2.1 การสงผานไมมสายทปลอดภยการสงผานขอมลในเครอขายเซลลลารสามารถถกจดเปนหมวดหมเปนการจราจรผใช หรอการจราจรทเปนสญญาณ สความปลอดภยประกาศ กบความเคารพใหการจราจรเซลลลารคอเปนความลบการจราจรผใช, การเปนสญญาณเปนความลบการจราจร, นาเชอถอเอกลกษณผใชและชอแฝงเอกลกษณผใช สำาหรบการจราจรผใชระหวางผบรจาคและระบบจบหลงการสรางรหสลบจำาเปนทจะทำาใหแนใจเปนความลบ นอกจากวทยทำาใหเปนชนความถการปรบทำางานกระฉบกระเฉง และแผนการถอดรหส code-division multiple access (CDMA), GSM/GPRS, CDMA, universal mobile telecommunications system (UMTS) และ cdma2000 ทงหมดใชการสรางรหสลบจำานวนหนงสำาหรบการจราจรผใชทจะบรรลผลความปลอดภย end-to-end สำาหรบนาเชอถอผใช, แผนนาเชอถอใชเปนประโยชนโดยทวไปบางคนจดเรยงเพราะชนสวนเอกลกษณบนโทรศพทเซลล เราใช GPRS และ CDMA เปนตวอยางทจะแสดงวธปลาย-ให-ความปลอดภยจบถกเพมในเครอขายเซลลลาร GSM /GPRS (มตตอมาทสามผรวมโครงงานหรอ 3GPP) เพราะถกจำากดความอาศยวธคด A5 (GEA3 สำาหรบ GPRS) อาศยวธคด A3 และอาศยวธคด A8 ตารางท 8.3 จดเตรยมขอสรปของวธคดเหลาน

ใน GSM / GPRS เครอขาย, ผบรจาคถกระบโดยเอกลกษณ international mobile subscriber identity (IMSI) เพราะถกเกบใน subscriber identity module (SIM) รวมทงแฮนด

เซต(โทรศพท) SIM ยงมคยลบ(Ki) รวมกบ IMSI บนดานเครอขาย IMSI และ Ki ของมนถกเกบใน authentication center (AuC) ดำาเนนการในการทาทายและแฟชนตอบสนองทใหสมตวเลขเปนการทาทายถกสรางและสงทสถานซงเคลอนทไดโดย serving GPRS service node (SGSN) สถานซงเคลอนทไดใช Ki ของมนทจะผลตรหสเปนตอบสนองซงเหนดวยทวธคด A3 คยการสรางรหสลบ(Kc) คอถกไดรบจากเดยวกนสมตวเลข Ki โดยวธคด A8 บนสถานซงเคลอนทไดสงนถกปฏบตโดยชนสวน SIM ขอมลและการจราจรเสยงคอถกการนำาขอความมาเขารหสการใช Kc บต 40 คนยาว แตไมใชเอกสารเปนทางการแสดงความยาวตามความเปนจรงของมน เมอสถานซงเคลอนทไดเคลอนยายรอบๆ temporary mobile subscriber identity (TMSI) คอถกประกาศโดยเครอขายทจะตามรอยสถานซงเคลอนทได เมอไรกไดสถานซงเคลอนทไดเปลยนมนทรวมกบ mobile switching center (MSC) ทมนจะรบ TMSI ใหมนนคอสมบรณเทานนภายในพนทตำาแหนงของ MSC ในราคา TMSI คอถกการนำาขอความมาเขารหส กบ Kc เปนสวนของการแบงสวน TMSI ตองการขาวสาร และสงทสถานซงเคลอนทได หลงจากการใชวธคด A5 กบ Kc สถานซงเคลอนทไดตอมายนยนการตอนรบของ TMSI โดยตอบกลบกบการแบงสวน TMSI ขาวสารการยนยน ดงเชนกระบวนการแบงสวน TMSI อกครงการทาทายและแผนตอบสนอง

ตารางท 8.3 โครงสรางในการรกษาความปลอดภยในระบบ GSM/GPRS (3GPP)

ระบบการตดตอสอสารโทรศพทเคลอนทสากล( UMTS )/ wideband CDMA ( WCDMA ) ความปลอดภยโทรศพทเคลอนท GPRS ปรบปรงโดยแนะนำาคยเลขศนยมากมายของบต 128 คน และถาหากวาความสมบรณขอมล การเปนสญญาณขาวสาร และขาวสารขอมลไดรบการคมครองโดย KASUMI ยบยงโปรโตคอลเลขศนยซงใช-คยเลขศนยบต 128 คน วธคดเดยวกนสราง-รหสนาเชอถอขาวสารบต 64 คนทจะทำาใหแนใจความสมบรณขอมล ไมเหมอนวธคดของเอกชนทใชใน GSM /GPRS KASUMI ทมใหในทสาธารณะสำาหรบ cryptanalytic แนะนำา

มตทสามผรวมโครงงาน (3 GPP) มฟอรมกลมททำางาน TSG SA (คอกลมการเจาะจงทางเทคนค การบรการ และลกษณะระบบ) ความปลอดภย WG3 รบผดชอบการไตสวนของเนอหาความปลอดภย, และตดตงความตองการความปลอดภย และเคาโครงเปนเวลา 3GPP ระบบทงหมด SA WG3 ไดจดทำาการเจาะจงทางเทคนคจำานวนมากมาย (TSs) และรายงานทางเทคนค (TRs) ของความปลอดภยประกาศทสนกระดงจาก 3G การคกคามความปลอดภยถงความตองการวธคดเครองเขยนรหสหรออกษรลบและวธคดอยางจำาเพาะเจาะจงถงความปลอดภยอนเทอรเนตแลน 3GPP และโทรศพทไรสาย

Cdma2000 1x ใช-คยนาเชอถอบต 64 คน(คย) และอเลกทรอนกสรหสผลตภณฑ( ESN ) เพอไดรบสองคยการสรางรหสลบสำาหรบขาวสารทเปนสญญาณ และขาวสารขอมล, ตามลำาดบ คยการสรางรหสลบสำาหรบขาวสารทเปนสญญาณ และขาวสารขอมล, ตามลำาดบ วธคดการสรางรหสลบหนง Cdma2000 1x EVDO ใช 128 -บตคยทไดรบจากคย DH แลกเปลยน โปรโตคอลนาเชอถอในเครอขาย cdma2000 คอนาเชอถอเซลลลาร และการสรางรหสลบเสยง(ถำา)เนอหา 8.4 แสดงขอสรปของวธคดในเครอขาย CDMA -บต 128 คน SSD ทสรางโดยวธคดถำาใหสองเทากบ-สวนความยาว SSD_A และ SSD_B การใชถำา กบ SSD_A และสมการทาทายตวเลข) เพราะถกสรางโดย MSC, สถานซงเคลอนทไดสามารถทจะสราง-ตอบสนองลายเซนนาเชอถอบต 18 คน) และสงมนทสถานอาศย สถานซงเคลอนทไดยงใช SSD_B ทจะสรางคยลบทสงนนจะคนเคยเสยงการปนปาย นอกจากน, การใชวธคดถำา, สถานซงเคลอนทไดยงสามารถสราง-บต 64 คน CEMA คย และ-คยขอมลบต 32 คน คย CEMA คนเคยการนำาขอความมาเขารหสทกำาลงเปนสญญาณการจราจร,

และคยขอมลคนเคยการนำาขอความมาเขารหส และการจราจรขอมลไมหองใตดน

นาเชอถออำานาจทไดมอบหมายและ AAA คอสวนสำาคญของ 3G ระบบเซลลลาร ใน cdma2000, AAA ซงสามารถปฏบตการไดคอภายใตเงอนไขโดยบาน AAA เครองแมขาย และเยยมเครองแมขาย AAA รวมทงซงเคลอนทไดอนๆ ไอพ สวนประกอบ จดการบรการขอมลแพคเกจ( PDSN ) (ตวแทนตางประเทศ) ในเยยมเครอขายขอมลทใชไปขางหนาของบานเกยวกบโทรศพททางไกล AAA, อาจเปนไดผานนายหนาซอขาย AAA ใน UMTS, CN มตวแทนบาน และเครองแมขาย AAA การใชจดการบรการ GPRS การรบใช(SGSN) และเกทเวย GPRS สนบสนนจด (GGSN) เพราะเกทเวย, ทของของมนของของมนเยยมเครองแมขาย AAA สามารถตดตอ กบบานของมน AAA เครองแมขายสำาหรบของใหมทใชแบบเดยวกนขรขระวาถงตำาแหนงปรบปรง กบขอยกเวนสงนนการเปนอยขอมลทสงไปถกผานมาถงฟงกชน AAA

ตารางท 8.4 โครงสรางในการรกษาความปลอดภยในระบบ CDMA

8.2.2 รายการไมมสายทปลอดภย

โปรแกรมซงเคลอนทไดทถกจดใหเหมาะสมอยางสำาคญในสงแวดลอมเครอขายตางชนดกนในสงซงโทรศพทไรสาย และเครอขายตดตงระบบสายลวดเชนโทรเลข, เครอขายกจการทปลอดภย, และกวางเปดเครอขายโทรศพทไรสายบานอยรวมกนและตดตอซงกนและกน สงหนงไมสามารถการนบอยางเพยงผเดยวบนความปลอดภยการคมนาคมไมมสายแมวาเครอขายไมมสายอยขางใตทปลอดภยอยางมาก ชนสงกวา(เครอขายทำาใหเปนชน หรอขางหลง) กลไกความปลอดภยเสมอไปทตองการเมอการจราจรผใชถกเปดเผยทอนเทอรเนตทไมปลอดภยหรอเครอขายโทรศพทไรสายไมจดเตรยมปรารถนาฟงกชนความปลอดภย ในปฏบตตาม, การขนสงไมมสายทำาใหเปนชนความปลอดภย (WTLS) และ WAP (โปรโตคอลโปรแกรมโทรศพทไรสาย) ชนสวนเอกลกษณ( WIM ) ของ WAP และ IPSec หรอ SSL VPNs ถกแนะนำาเปนสวนมากใชกวางขวางโปรโตคอลความปลอดภยอปกรณโทรศพทเคลอนทของวนน บนทกสงนนวาเขายงสามารถใชอยในเครอขายไมมสายอนๆ เชนเดยวกนกบแลนไมมสาย และ บลทธ

ความปลอดภยทรานสปอรตเลเยอรไรสายความปลอดภยทรานสปอรตเลเยอรไรสาย (WTLS )ตามทจำากดความใน WAP 2.0, จดเตรยมเปนความลบขาวสาร, ความสมบรณขาวสาร, และ unidirectional หรอนาเชอถอซงกนและกนทชนการขนสง มนอยางเดยวกนอยางทางตรรกะถง SSL / TLS แตถกปรบตวทสงแวดลอมไมมสาย การสรางรหสลบขาวสารถกปฏบตการใชRC4, ถอด, และสามเทา-ถอด หรอ 3-ถอด ความสมบรณขาวสารถกประกนการใชHMAC นาเชอถอคออาศย PKI, การใชRSA, ECC, หรอ DH เครองแมขาย WAP (ยงเรยกเกทเวย WAP ) ใชใบรบรอง WTLS , ฟอรมทเจาะจงของใบรบรอง x.509 ไคเอนท WAP อาจจะใชใบรบรองดจตอลทรบจาก CA สำาหรบนาเชอถอ,อกดวย ถงแมวามนไมปกต ปฏบตตามคอคำาอธบายของการสรางสวนสำาหรบกรณเมอเครองแมขาย WAP จำาเปนตองถกรบรองเปนของแท(คลาส 2 การบรการของ WTLS )

เมอไคเอนท และเครองแมขายเรมตนการจบมอกน, เขาแลกเปลยนครงแรกสองสมตวเลขในขาวสาร “hello ” เมอคยสาธารณะของเครองแมขายถกพสจน กบใบรบรอง, ไคเอนทสงทการนำาขอความมาเขารหสคยลบหลกกอนโดยคยสาธารณะของเครองแมขาย> คยลบหลกกอนน และสมตวเลขทแลกเปลยนจะถกใชบนทงดานทจะคำานวณ-คยความลบหลกบต 160 คน สำาหรบการสรางรหสลบขอมล, บลอกคยการสรางรหสลบถกคำานวณอาศยคยลบหลก, ตวเลขตามลำาดบ, สมตวเลขทแลกเปลยน, และงานสงสรรคการชบอกสตรงของการคำานวณ บลอกคยนจะเคยอยางเกยวกบผลสดทายไดรบคยการสรางรหสลบสำาหรบวธคดเชนเดยวกนกบ RC4, ถอด, หรอสามเทา-ถอดสงนนถกซอขายระหวางขาวสาร “hello ”แลกเปลยน

WTLS เจาะจงวธคดการเขาถงขอมลโดยตรงทคยเชนเดยวกนกบ SHA -1 และ MD5 สำาหรบกระบวนการคำานวณของ MAC บนขอมลซงถกบบอด สำาหรบอปกรณซงเคลอนทได กบขอจำากดพลงทกำาลงคำานวณ, วธคด SHA_XOR_40 เหนอศรษะทสวาง ภายใตเงอนไขในเวอรชนลาสดของ WTLS อกดวย คยทใชระหวางกระบวนการคำานวณ MAC , รวาเปนความลบ MAC ,อกดวย คอทถกไดรบจากบลอกคยการสรางรหสลบอกดวย ตามลำาดบทจะทำาการปฏเสธของการบรการโจมตยากอยางมากกวาทจะบรรลผล, การเจาะจง WTLS แนะนำาสงนนเครองแมขาย WAP ไมควรจะยอมผโจมตทจะทำาลายการเชอมตอทคงอย หรอสวนโดยสงขาวสารเดยว plaintext จากตำาแหนงทอยเตาหลอม

รปภาพ 8.6 สถาปตยกรรม WTLSรปภาพ 8.6 อธบายสถาปตยกรรม WTLS ทหวใจของมนคอ

โปรโตคอลระเบยน, สงซงสวนตดตอ กบไมมสาย datagram โปรโตคอล( WDP ) และโปรโตคอลการขนสงไมมสาย( WTP) และรบผดชอบการสรางรหสลบขอมลและการพสจนความจรงความสมบรณ โปรโตคอลการจบ

มอกนจำากดความการเจรจาของตวแปรเครองเขยนรหสหรออกษรลบเชนเดยวกนกบวธคด, แผนนาเชอถอ, และวธการบบขนาด เมอการเจรจาทเสรจสนสมบรณ, โปรโตคอลลกษณะเลขศนยการเปลยนแปลงถกปฏบต, การชบอกสงนนงานสงสรรคพรอมเพอใชซอขายกลไก หลงจากวาโปรแกรม, ขอมลสามารถถกแลกเปลยนกำาลงสอดคลองทโปรโตคอลขอมลโปรแกรม

เวอรชนลาสดของ WTLS ไมใชทปลอดภย, เพราะ researchers เคยคนพบปญหาความปลอดภยจำานวนหนง (ท4).เปนตนวา, ใน WTLS เวกเตอรกระบวนการเรมตนยนยนไดวา (IVs) ขอใหนำาพาสการฝาฝนคยการสรางรหสลบและวธคด SHA_XOR_40 ไมจดเตรยมความสมบรณขาวสาร ถาเลขศนยสตรมถกใช ในหลอดไฟของปญหาเหลาน, เวอรชนสดทายของ WTLS (เวอรชน 06 - Apr - 2001) มทำาการเปลยนแปลงมความหมาย, เปนตนวา, วธคด SHA_XOR_40 ถกยาย

ชนสวนเอกลกษณ WAP ตามลำาดบใหรวม WAP อยางทไมเหนรองรอยเขาไปใน-สงแวดลอมพาณชย, ไคเอนท WAP จำาเปนตองถกรบรองเปนของแท กบความเอาใจใสใหเอกลกษณอปกรณโทรศพทเคลอนท tamperproof WIM ชนสวนสามารถถกฝงเขาไปในอปกรณไคเอนท WAP สำาหรบจดประสงคน มนสามารถสวนประกอบของการด SIM หรอสมารทการดภายนอกทบรรจขอมลขาวสารดงตอไปน สาธารณะ/สวนตวคคยของอปกรณสำาหรบสญญาณ และคอนๆสำาหรบนาเชอถอ, ใบรบรองของผผลต, และใบรบรองผใช หรอ URLs ของเขาทงหลาย ชนสวน WIM เพมคลาส WTLS 3 การบรการ, การยอมไคเอนท WAP ทเกยวของ กบมนถกรบรองเปนของแท คลาสนของการบรการเจาะจงสงสงนน, นอกจากนใหนาเชอถอเครองแมขายระหวางการจบมอกน ไคเอนทตองสรางลายเซนดจตอลการใชสงหนงของสาธารณะของมน/สวนตวคคยทเกบในชนสวน WIM การทำาใหสามารถไมมบอกปดของขาวสารไคเอนท

เปนรปแบบเวบไมมสายซงคลาย iMode จดเตรยมนาเชอถอเครองแมขายทพนฐาน SSL อกดวย การสรางรหสลบขาวสารและความสมบรณ เพราะวา iMode คอสถาปตยกรรมของเอกชน, รายละเอยดของกลไกความปลอดภยของมนไมทมใหในทสาธารณะ รปแบบเวบไมมสายอนๆถกพฒนาโดยบรษทภาษาญปน เชนเดยวกนกบ EZWeb (KDDI) และ J-ทองฟา(J-

โทรศพท).ถงแมวาภายในของระบบเหลานนไมถกแสดงทสาธารณะ มนเชอวาเขาใหเดยวกนสวนหนงของอาศย SSL หรอ TLS

IPSec/SSL VPN IPSec/ SSL VPN ทถกใชกวางขวางในเครอขายไมมสายซงเคลอนทไดทจะยอมใหทางเขาเครอขายระยะไกลทปลอดภย โปรโตคอลเหลานโปรงใสทเทคโนโลยวทยอยขางใตทใชกบการคมนาคมไมมสาย ถาเครอขายคอ ไอพ ทพนฐาน, เกยวกบทฤษฎ IPSec จะทำางานโดยปราศจากปญหา, ถงแมวาในความเปนจรงม ปญหาจำานวนหนง กบความเอาใจใสทธรรมชาตของการสงผานไมมสาย และความสามารถในการเคลอนไหว เปนตนวา, VPN ทำาอาจจะถกขดจงหวะระหวาง handoff ไมเหมอน IPSecVPN สงซงจดเตรยมทางเขาทปลอดภยสเครอขาย, SSL VPNs ทำาใหสามารถทางเขาระยะไกลทปลอดภยสโปรแกรมขางในเครอขาย

โทรศพทเคลอนท VPN ประโยชนโดยเฉพาะเมออปกรณซงเคลอนทไดถกใชโดยบคคลเกยวกบการขาย, วศวกรฟลดหรอชนดอนๆของคนงานซงเคลอนทไดทปรารถนาไปเขาถงอยางระยะไกล และเครอขายกจการผานทางอนเทอรเนต ซงเคลอนทไดVPN อาศยอนใดอนหนง IPSec หรอ SSL สามารถแกปญหา นอกจากไคเอนท VPN บนอปกรณซงเคลอนทได เกทเวย VPN จำาเปนตองตดตงกบนาเชอถอไคเอนท และการสรางรหสลบขอมล/การถอดรหสลบ ปญหา กบการใช VPN ถกผานมาถง U.S. สงออกหนวยควบคมบนเครองเขยนรหสหรออกษรลบ, สงซงอยางงายบงคบหนวยควบคมเครงครดบนสงออกเพราะซอฟแวรเครองเขยนรหสหรออกษรลบ และอปกรณสำาหรบการพจารณาความปลอดภยแหงชาต ระบบเครองเขยนรหสหรออกษรลบแขงแรงเชนเดยวกนกบ-คยบต 128 คน VPNs ไมถกยอมถกสงออกถามใชใบอนญาตจำานวนหนงถกรบ เครอขายเครอขายทงคณะอยทการเสยงเมอ VPN ไคเอนทในสำานกงานโพนทะเลใช-การสรางรหสลบบต 40 คน

นอกจากสองโปรโตคอลเหลาน โทรศพทสมารทรนระบบการปฏบตกาวหนาเชนเดยวกนกบโทรศพทอจฉรยะวนโดวสยอมใหปรกต SSL ถกใชภายในเวบบราวเซอรซงเคลอนทได มนถกหวงวาวาโปรโตคอลความปลอดภย

ชนสงกวาจะทถกพอรตโดยตรงไปบนอปกรณซงเคลอนทไดทรงพลงอยางคอนขางเชนเดยวกนกบสมารทโฟน

8.3 ความปลอดภย Wireless Lanเพราะวาโทรศพทเซลลมากกวา และโทรศพทสมารทคอกำาลงม Wi-Fi สวนตดตอ, ปญหาความปลอดภยผานมาของ IEEE 802.11 แลนไมมสายเคยคอหวขอรอน, โดยเฉพาะหลงจากจรงจงมากมายของตดตงระบบสายลวดเชนโทรเลขสมมลความลบ(กลไกความปลอดภย WEP ของ 802.11 ถกคนพบ เมอ 802.11 มาตรฐานแลนไมมสายถกพฒนา ความปลอดภยไมมการมสทธกอน “wired equivalence” ออกแบบขอความแหงเหตผลนำาอยางสงจำาเปนใหเวอรชนลาสดจำานวนหนงของการแกปญหาความปลอดภยแลนไมมสายทวาไมความปลอดภยสงใหทำางานเขาถกสมมตเพอจดเตรยม Wi-Fi ผลตภณฑในใชคออาศยโปรโตคอลรอยราวเหลานและกลไก IEEE 802.11 กลมการทำางานไดกลายเปน กบขยายความปลอดภยหลายใหมใหมาตรฐาน ผลตภณฑแลนไมมสายไมใชวตถหรอสสารขยายความปลอดภยเปนออพชนนอกจากนใหกวาง-เปดคาทตงไวบอยๆ

ความปลอดภยเสยงในแลนไมมสายรวมถงการลอบฟง, ไมเปนทางการทางเขา, การการรนเรงสวมหนากาก, การบกรก man-in-the-middle, การปฏเสธของการบรการ (DoS) และคนพาลเขาถงจด

ลอบฟงทลอบฟง-เปนไปไดอยางมากเพราะวาขอบเขตทการประกนภยของโทรศพทไรสายเปนสญญาณยากทเดยวทจะตดสนใจ, และทกๆคนภายในระยะ กบสวนตดตอเหมาะสมจะสามารถทจะเกบเปนสญญาณ และขดขวางการสงผานขอมลไมหยดยงตามอำาเภอใจ การนำาขอความมาเขารหสออนแอเปนสญญาณสามารถถกกะเทาะ กบความพยายามสภาพ เครองมอทรงพลงเชนเดยวกนกบ AirSnort และชะตากรรมททำาทลอบฟงไมมสายบนแลนโทรศพทไรสายไมปลอดภยงายกวามาก

ไมเปนทางการทางเขา-ไมเปนทางการทางเขาเกดขนเมอบาน หรอแลนโทรศพทไรสายกจการกระทำาในโหมดคาทตงไวพนฐาน, สงซงยอมทกๆคนทจะใชอนเทอรเนตของมนเขาถงรวมทงทรพยากรอนๆทแบงปนในเครอขาย

การรนเรงสวมหนากาก-แลนไมมสายจำานวนมากมายใชไมมสาย MAC ของ adaptor อางองตำาแหนง(ตำาแหนงทอยทางกายภาพ) เพราะตวกรอง ดงเชน, ผบกรก อาจจะตวเองการรนเรงสวมหนากากโดยทการหยอกลอ MAC ตำาแหนงทอย สงนสามารถทำาอยในรวม กบลอบฟง

ผชาย-ใน--กงกลางโจมต-แลนไมมสายถกออกแบบเพอยอมทางเขาชไปยงรบรองเปนของแทสถานแตไมมจากดานหรอมมตรงกนขาม ดงนน, สถานไมสามารถเพอความแนใจสงนนทางเขาชในคำาถามคอสงซงมนการเรยกรอง ผบกรก อาจจะแสรงทำาคอทางเขาชทนงระหวางสถาน และทางเขาจรงชไปยงจดตด, แกไข, และแพคเกจเตาหลอม

การปฏเสธของการบรการ(ระบบปฏบตการดอส) - ระบบปฏบตการดอสธรรมดามากบนอนเทอรเนตตดตงระบบสายลวดเชนโทรเลข เครองจำานวนมากมายถกจดระเบยบเพอโจมตเวบไซทเดยว, ทำาใหมนไมสามารถใหการบรการผใชถกตองตามกฎหมาย ในแลนไมมสายผบกรก อาจจะใชคนพาล APs สถานดวยตวเองของเขาทงหลาย, หรออนๆไมม- 802.11 แถบแสงแยกส jammers ทจะสงจำานวนมากมายของเตาหลอม 802.11 การจดการ หรอเฟรมหนวยควบคม หรอเสยงรบกวนแถบแสงแยกสกวาง- IEEE 802.11 โปรโตคอล MAC ยงถกแสดงบาดเจบไดใหระบบปฏบตการดอสโจมต

คนพาลเขาถงเนองจากความสะดวกของตดตงเครอขาย และคาทตงไว สงหนงอาจจะสรางแลนไมมสายไมปลอดภยเลก และทำาใหมนทำางานอยางทนทโดยทเชอมตอมนทจบหลงตดตงระบบสายลวดเชนโทรเลขอยางรวดเรว ดงนนเครอขายตดตงระบบสายลวดเชนโทรเลขทงหมดอาจจะไมปลอดภยเนองจากแลนโทรศพทไรสายคนพาล

8.3.1 เรองความปลอดภยของ 802.11 ทแตงขนโดยทวไปในในทางปฏบตแลนไมมสายกวางเปดโดยปราศจากทางเขาใดๆควบคม หรอใชงายๆทพนฐาน MAC (ทน MAC อางถงตำาแหนงทอยกายภาพของหมอแปลง)บอยๆ ทางเขาควบคมรายการ( ACL ) เพอรบรองเปนของแทสถานซงเคลอนทไดถกตองตามกฎหมาย ACL รายการอยางสงจำาเปนของ MAC อางองตำาแหนงสงนนถกยนยอมเพอเขาถงเครอขาย เฟรมขอมลเหลา

นนไมใชกอใหเกดจากตำาแหนงทอย MAC ถกตองตามกฎหมายจะถกปฏเสธโดยทางเขาชโดยปราศจากใชจนหมดนาเชอถอทมากกวา เพราะในแลนตดตงระบบสายลวดเชนโทรเลข, MAC อางองตำาแหนงในหวขอโครงคำาตรงรปตว ? หรอ V ทถกสงไปตลอดเวลาในขอความใสโดยไมคำานงถงของวธการสรางรหสลบในใช, การยอมทกๆคนทจะรวบรวมรายการของ MAC อางองตำาแหนงเพราะสถานทเกยวของ กบจดทางเขา ผโจมตสามารถประดษฐเฟรมขอมลซงใชเหลานนทใหสทธ MAC อางองตำาแหนง และไดรบทางเขาทเครอขาย เพราะฉะนน, สงทตรงกนขามใหความเชอธรรมดา, พนฐาน MAC เขาถงการแกปญหาหนวยควบคมไมแกปญหา

เรองอภนหารความปลอดภยธรรมดาอนๆทเกยวของดวย 802.11 คอใชของขยายการบรการตงผคนหา (ESSID) เพราะวา ESSID ระบจดทางเขา, จำานวนมากมายเชอวาโดยขาวสารกระโจมไฟทระงบทบรรจ ESSID ของทางเขาชผโจมตจะไมสามารถทจะตดสนใจ ESSID และดงเชนไมสามารถเกยวของทจดทางเขา ตามความเปนจรง, สงนไมปองกนผโจมตจากได ESSID เพราะวามนยงคงทถกสงในทอสอบขาวสารเมอไคเอนทเกยวของถงจดทางเขาอกดวย แลนไมมสายจำานวนมากมายใชคาพนฐานทรจกกนดESSID

ใหขอเทจจรงสงนนแลนไมมสายจำานวนมากมายเขาถงจดคอกำาลงทใช และไมมทางไดผลทจะปองกนแลนไมมสายเปนสญญาณจากเดนทางไกล, มนกำาลงหลงใหลเพอไดทางเขาฟรสแลนไมมสายใกลขณะทเดน, การขบ, หรอการบนแมแตโดยการใชอปกรณแลนไมมสายเหมาะสม ในความพยายามทจะตรวจสอบแลนไมมสายในพนทแหงภมภาค, ผคนจำานวนหนงทถกหมนอยางเขมขนในกจกรรมรวาเปนสงครามทเดน, ทขบสงคราม, และสงครามซงบน[6].ในทกกรณ, PDA หรอคอมพวเตอรแลปทอปกบสวนตดตอแลนไมมสาย และระบบทตำาแหนงทวโลก( GPS ) เครองรบ, เครองมอซอฟแวรเหมาะมอเชนเดยวกนกบผการสะดดเนต (http://www.netstumbler.com/) หรอแมเหลกอากาศ (http://www.airmagnet.com/) และขอกำาหนดเพมเตม high-gain เสาอากาศทงหมดมนใชเพอผลตโทรศพทไรสายเขาถงแหลม( WAP ) แผนทของจดทางเขาทปลอดภยอนใดอนหนง(การใช WEP / WPA / WPA2 หรอทเครองมอวดความปลอดภยชนสงกวา) หรอไมปลอดภยกบทรงพลงเสาอากาศ สวนสนบสนนสงครามสามารถไมล

จำานวนมากมายออกไปจากตำาแหนงทางกายภาพของแลนไมมสายยงยงคงสามารถเกบเปนสญญาณของมน รปภาพ 8.7 คอ Wi-Fi เพราะ Seattle ททำาโดยนกศกษามหาวทยาลยของ Washington (http://depts.washington.edu/wifi map) ในรปภาพแสดง ทางเขาช(ทปลอดภย และไมปลอดภย) ภายในเออมถงของสวนสนบสนนสงคราม แลนโทรศพทไรสาย ไมปลอดภยทตรวจสอบโดยสงครามทขบไมเฉพาะกลายเปนสวนสนบสนนสงครามอสระขบนอนเทอรเนตแตอกดวยเชญ ผบกรกทจะรบทางเขาระยะไกลสเครอขายโดยปราศจากการเปนอยทกรองโดยไฟรวอล หรอตรวจสอบโดยระบบการตรวจสอบการบกรก

8.3.2 WEP ทไมมนคง พนฐานการบรการตงผคนหา (SSID) เขาถงหนวยควบคมจรงๆไมกลายเปนฟงกชนใดๆใหความปลอดภย นอกจาก, มนสามญสำานกการคมนาคมโทรศพทไรสายทนนควรจะการนำาขอความมาเขารหส และรบรองเปนของแทอยางเหมาะสม WEP คอกลไกความปลอดภยแรกสำาหรบแลนไมมสาย คยความลบสวนแบงของบต 40 หรอ 104 คนถกใชโดยสถานทมสวนอยดวยทงหมดภายใน BSS (การบรการพนฐานการตงคา) เพราะถกประชดกบทจดทางเขาเดยวกน วธคดการสรางรหสลบคอ RC4 เปนเวลาทกแพคเกจทสงระหวางสถาน และสมาคมเขาถงจดความสมบรณ 32 บตตรวจคา(ICV) ถกคำานวณกำาลงสอดคลอง CRC - 32 วธคด ตอมา RC4 ใช-คยบต 64 คนใหขอมลการนำาขอความมาเขารหส และ ICV คยการสรางรหสลบถกประกอบดวยของ-บต 24 คนสรางเวกเตอรกระบวนการเรมตนอยางสม(IV) และ-บต 40 คนทแบงปนคยลบ, เพราะแสดงในรปภาพท 8.8 (a) การใชคยสรางรหส 64 บต pseudo-random generation algorithm (PRGA) ของ RC4 คำานวณคยสตรมซงจะเปน XOR กบขาวสาร (ดรปภาพ 8.8 (b) และ(c) เพอการใหงานสงสรรคอนๆรIV มนเพมขอมลนำาหนกบรรทกทใหรายไดการนำาขอความมาเขารหสเปนสวนของ) ตามทแสดงในรปภาพ 8.8 (d)

ตดตงระบบสายลวดเชนโทรเลขสมมลความลบ(WEP) คอถกรไปมปญหาความปลอดภยมากมาย ปญหาแรกคอขาดแคลนการจดการคย, เชนเดยวกนกบคย DH แลกเปลยนโปรโตคอล คยลบจำาเปนตองถกแจกจายโดยวธการคมนาคม และคอหวขอใหวศวกรรมเกยวกบสงคมโจมต ทซงเทคนค ผบกรก ผใชถกตองตามกฎหมายของระบบตามลำาดบทจะรบรหสผาน ตำาแหนง

ทอย หรอขอมลขาวสารไวตอความรสกอนๆ เพราะเครอขายเตบโต สถานมากกวาจำาเปนตองถกแจงบอกของคยลบเดยวกนและมนยงยากทเดยวอยากจะเปนทจะเปลยนคยลบสำาหรบเหตผลความปลอดภย มากคยลบไมใชความลบหลงจากเวลาจำานวนหนงอกบอยๆ

รปท 8.7 แผนทวายฟายของดาวเทยม

รปท 8.8 การเขารหส WEP

ปญหาทสอง กบ WEP คอ-บต 24 คน IV เพราะวาแพคเกจแตละอนทสงไปมIV มนเปนไปไดสงนน IV เดยวกนจะถกใชอยางอกครงหลงจากเวลาจำานวนหนง (ทวางรหสของ IV จะใชจนหมดหลงจาก 224 แพคเกจถกสง)อกนยหนง RC4 ถกคนพบโดย Fluhrer al เพอมความออนแอรนแรงในวธคดการกำาหนดลำาดบงานคยของมน เมอคยการสรางรหสลบถกสรางโดยวธทกลาวไวขางตน, ผโจมตจะสามารถทจะไดรบ-สวนความลบบต 40 คนของคยการสรางรหสลบโดยทวเคราะหแพคเกจเหลานนซงแบงปนคยการสรางรหสลบเดยวกน(คยลบ_ IV)สงนโจมตอางถงเปน FMS โจมต มนถกแสดงสงนนคย WEP สามารถกะเทาะอยในสาระของหลายชวโมง

ปญหาทสาม กบ WEP คอ CRC - 32 วธคดเคยคำานวณ ICV CRC ในดวยตวเองคอกลไกงายดายสำาหรบตรวจสอบสมขอผดพลาด มนไมถกการออกแบบเพอตรวจสอบขอมลรอบคอบ ตามความเปนจรงมนถกแสดงสงนนวามนเปนไปไดทจะแกไขนำาหนกบรรทกทใหรายไดการนำาขอความมาเขารหสของ 802.11b ขาวสารโดยปราศจากการทำาใหยงเหยง

checksum (ICV) นอกจากน CRC - 32 วธคดไมรวมถงฟงกชนทคยอยางใดๆ เชนเดยวกนกบ HMAC ดงเชน ผโจมตซงรคยสตรมนนซงตรงกบให IV สามารถฉดแพคเกจเตาหลอมอยางปลอดภยเขาไปใน BSS

8.3.3 802.11 ความนาเชอถอไมมนคงIEEE 802.11 ไวเลสแลนเฉพาะกำาหนดสองโหมดทนาเชอถอ: เปดและแชรคยทนาเชอถอ ดฟอลเปดคานาเชอถอบงคบไมใหนาเชอถอบนสถานทตองการทจะสอสารกบแอสเซสพอยด ในโหมดแชรคยแผนการเรยกรองและตอบสนองถกใช บนการรบตองการความนาเชอถอเรยกรองจากลกษณะของสถานโดยแมคแอดเดรสของมน แอสเซสพอยดตอบสนองดวย 128 ไบตสมผลตการเรยกรองเนอหาในเคลยรเทก สถานเขารหสเนอหาทเรยกรองกบแชรคยทใช RC4 และสงผลกลบไปใหแอสเซสพอยด แอสเซสพอยดใชเชนเดยวกนกบแชรคยทถอดรหสการตอบสนอง ถาคาการถอดรหสตรงกบเนอหาทเรยกรองสถานกจะรบรองและสามารถดำาเนนการตอไปเพอสงและรบขอความใน BSS ไมเชนนนสถานกปฏเสธ

เพราะสงทพดถงลาสดปญหาของกลไกความนาเชอถอนมสาเหตมาจาก RC4 กำาหนดไวในกระดาษโดย Fluhrer et al ผบกรกคนไหนทรบตวเลขมากมายของการเรยกรองและการตอบสนองนาเชอถอตรงกนตามลำาดบให WEP สรางการเขารหสคยสามารถสรปจากคยสตรมไดโดยงายโดย RC 4 โดยความออนแอเหลานนทการงดทบรรยายในสวนกอนหนา จากจดนนผบกรกสามารถรบรองตวเองในการเขาถง แอสเซสพอยด โดยการตอบสนองทถกตองทบางเนอหาการเรยกรองใชคยสตรมโดยปราศจากการรการแชรคยลบ ถงกระนนดวยสตรมคย เคลยรเทก ของขอความนนกำาลงถกวเคราะหสามารถถกแสดงโดยรหสขอความ XOR อยางงายตอตานคยสตรม แนนอนการคำานวณเชนเดยวกนทมสวนรวมกบ แอสเซสพอยด ควรปฏบตใชเครองมอเชนเดยวกนกบ WEPCrack (http://wepcrack.sourceforge.net/) หรอ AirSnort (http://airsnort.shm oo.com/) มนไมนานเพอแครกทคย WEP

8.3.4 802.1X, WPA และ 802.11iทแอดเดรสเนอหาความปลอดภยของ WEP หนงเมธอดทแนะนำาจะสรางความปลอดภยหมขางบนสดของไวเลสแลนทไมปลอดภย VPN ถกใชในการปฏบตบอยๆ 802.11i สงไหนทบรรลความสำาเรจในไป 2004 ถก

ออกแบบเพอแอดเดรสเนอหาความปลอดภยไวเลสแลน 802.1X เปนมาตรฐานความปลอดภยสำาหรบสงแวดลอมแลนทวไปมากกวา โปรโตคอล Wi-Fi protected access (WPA) ถกพฒนาโดย Wi-Fi Alliance ดงการแกปญหาสำาหรบ 802.11i ดงน 802.11i รวมถงคณลกษณะของ WPA และบางคณลกษณะใหมเชนเดยวกนกบ AES, CCMP (อธบายดานลาง), นาเชอถอกอนและ คยแคชชง สำาหรบการสงมอบเรว

มาตรฐาน IEEE 802.1X เปดใชงานพนฐานพอรตทนาเชอถอซงกนและกนและการจดการเฟลกซเบลคย ใน IEEE 802 เครอขายพนทภายใน มนไมทำาเจาะจงวธนาเชอถอเดยวแตใช extensible authentication protocol (EAP) เชนเดยวกบเฟรมเวรคนาเชอถอขางใตเพอสนบสนนเมธอดนาเชอถอตางๆเชนเดยวกบสมารทการด รหสผานหนงครงและใบรบรอง เมอไมรบรองผขอรอง (ไคเอนท) พยายามเพอเชอมตอกบผรบรอง (ไวเลสแอสเซสพอยด) ผรบรองเปดพอรตสำาหรบผขอรองผานความนาเชอถอ EAP เทานนถง เซฟเวอรของผรบรอง back-end ทสามารถ ยกตวอยางเชน เซฟเวอร remote dial-in user service (RADIUS) เรมตนออกแบบสำาหรบนาเชอถอและอนญาตใหหมนโมเดมเขามา RADIUS เหมอนโปรโตคอล (เปนมาตรฐานใน RFC 2058) ถกขยายเพอทำาใหสะดวกตามรปแบบใดๆของทางเขาระยะไกลทปลอดภยกบความเอาใจใสใหนาเชอถอ, อำานาจทไดมอบหมายและการจดการบญช ผรองขอสงมอบเอกลกษณของมนใหเซฟเวอรทนาเชอถอ สงททำาการตดสนใจเหมอนหรอไมผรองขอควรรบรองการเขาระบบแลน ความนาเชอถอของเซฟเวอรจะสงมาวา ยอมรบ หรอ ป“ ” “ฏเสธ เพอผรบรอง ถาผลคอ ยอมรบ ผรบรองจะเปลยนพอรตของไคเอ” “ ”นทเพอสถานการณใหสทธ หมายถงพอรตนนสามารถใชผาน ทราฟฟกเพมเตม ดงรปท 8.9 802.1X สามารถรวมกบโครงสรางพนฐาน AAA เชนเดยวกบ RADIUS ทเตรยมพนฐานผใชรวมความนาเชอถอ

รปท 8.9 802.1X ในการตงคาไวเลสแลน

Wireless protected access (WPA) คอการแกปญหาในเรองความปลอดภยไวเลสแลนทตองการโดย Wi-Fi Alliance WPA ถอยหลงเขาหา WEP ในสถานทๆกวางขวางอปกรณไวเลสแลนใหเหมาะสม WPA ตองการซอฟตแวรหรอเฟรมแวรในการอพเกรดเพอการคงอยของระบบเทานน แตละสถานการใช WPA จะใชความแตกตางการเขารหสคย 128 บตสำาหรบการเขารหสขอมล RC4 สงทสามารถ รเฟรช ความถ “ ”โปรโตคอลทใชความสามารถเหลานคอ temporal key integrity protocol (TKIP) สวนของคย TKIP แสดงดงตอไปน

Michael – Michael คออลกอรทม ขอความ integrity code (MIC) ทใชคย 64 บตถกเรยกวาคย MIC เพอสรางแทก 64 บต (MAC) สำาหรบแพคเกจนอกจากนถง ICV Michael เปนผออกแบบเพอบงคบกระบวนการคำานวณทหยอนกะทนหนขางบนสถานโทรศพทเคลอนทเหนอกวาอลกอรทมแมคอน

ตอคยแพคเกจทผสม – TKIP ใชฟงกชนทกำาลงผสมคยทใชพนฐานคย WEP ตนกำาเนด MAC address และแพคเกจตวเลขตามลำาดบเหมอนอนพตและสรางคย WEP 128 บตใหมสำาหรบแพคเกจสวนตวแตละอน การผสมฟงกชนคอผลบรรลในสองเฟสเพอลดกระบวนการคำานวณขางบน

การจดลำาดบแพคเกจ แตละแพคเกจมลำาดบตวเลข – 48 บต แพคเกจในอนาคตถกใชเพอคำานวณการเขารหสคย ความสามารถนทำาใหเสยขอความบกรกซำา

WPA นำา IEEE 802.1X เพอเตรยมทงสองทงความนาเชอถอและการจดการคย สำาหรบกจการเครอขายทซงเซฟเวอร AAA ทแยกออกมาเชนเดยว

กบ RADIUS ทอยในสถานท WPA สามารถรวบรมกบ AAA เซฟเวอรสำาหรบความนาเชอถอและการแจกคย WPA และโครงการ WPA2 (WPA2 เปนผลตภณฑรบรองความนาเชอถอผาน Wi-Fi Alliance สำาหรบผลตภณฑ 802.11i ทเขากน ทง WPA และ WPA2 มโหมดความนาเชอถอสองโหมด: พนธมตรและบคคล)เซฟเวอร AAA รบรองแตละผใชและตอมาสง per-session pairwise master key (PMK) ตอ ใน WPA และ WPA2 สวนตว ทกสถานและ AP มเหมอน pre-shared secret key (PSK) ถกใชสำาหรบความนาเชอถอทงสองกลมและ PMK ในทงสองกรณ PMK ไมไดถกใชสำาหรบเขารหส มนถกผสมกนกบ MAC ของสถานและ IV ทไดมาจาก pairwise temporal key (PTK) แตละคยจะถกใชเพอพจาณาคย AES ทนำามาเขารหส

คยการสรางรหสลบ และคย MIC ทใชโดย TKIP ถกไดรบจากมาสเตอรคยทสรางโดย 802.1X การเปลยนแปลงคยบอยททำาใหสามารถโดย 802.1X ยอมคยการสรางรหสลบ และคย MIC ทใชโดย TKIP ถกลางทกนานๆทการลดดงเชนการเสยงของเนองจากลอบฟง เพราะถกสรางโดย Wi-Fi Alliance WPA ถกสนบสนนโดยผขายอปกรณจำานวนมากมาย

เพราะวา WPA ใชสำาหรบเปนปะซอมรวดเรวถง WEP, มนอยางมประสทธภาพทำาใหมนยากมากกวา การตกลงกนไดไวเลสแลน ดาวนซายดของ WPA เพอวามนคอคอนขางจะททำาใหซบซอนทจะเพม, สงซงสามารถใหเพมขนใหการเสยงความปลอดภยมากกวา มนไมมประสทธภาพทจะแนะนำาคย MIC เพมเตมคยการสรางรหสลบทมากกวาอกดวยและใชทง ICV และ MIC สำาหรบความสมบรณขาวสาร ไมเหมอน WPA 802.11i ถกออกแบบเพอจดเตรยมการแกปญหาในเรอง 802.11 ความปลอดภย เหมอน WPA มนใช 802.1X เปนกลไกนาเชอถออยขางใต ความสามารถคยอนๆของ 802.11i

โปรโตคอล Countermode–CBC–MAC (CCMP) - เหมอน TKIP, CCMP จดเตรยมขาวสารลบเฉพาะและความสมบรณซงไมใชหนงเปนเลขศนยแทนท RC4 บลอกเลขศนยทกำาลงโซรหสนาเชอถอขาวสาร(CBC–MAC) ปกปองทงหวขอ และความสมบรณขอมล -คยการสรางรหสลบบต 128 คนทถกใช

สำาหรบกระบวนการคำานวณของ-บต 64 คน MAC อกดวย IV ยงคงบต 48 คน

การปกครองคย Pairwise - 802.11i ไมคำานวณคยการสรางรหสลบสำาหรบแพคเกจแตละอน แทน PMK เดยวกนทสรางโดย 802.1X นาเชอถอถกใชกบแพคเกจทงหมดระหวางสมาคม PMK คอ สงแรกทเคยไดรบ PTK โดยทางเขาชและสถานหลงจากการจบมอกนเหมาะสมระหวางมน คยการสรางรหสลบหนงทมากกวาทถกอนมานจากจาก PTK

Key caching และกอนการรบรอง - ผใช และรายงานในระยะอนสน, มนไมจำาเปนทจะจดหาใหผใชสำาหรบเขาใชขอมลรบรองอกครงอยางโปรงใส กอนการรบรองทำาใหสามารถเกยวกบโทรศพททางไกลถกรบรองเปนของแทให AP กอนการเคลอนยายสมน ทงแผนถกออกแบบเพอนาเชอถอการเพมความเรวในการสนบสนนการผลกออกเรว

มนควรจะหมายเหต TKIP สวนของ 802.11i อกดวย แตมนควรจะเฉพาะถกคดวาเปนการแกปญหาระยะสน เนอหา 8.5 แสดงการเปรยบเทยบของสามโปรโตคอลความปลอดภยเปนเวลา 802.11 ไวเลสแลน

ตารางท 8.5 การเปรยบเทยบโปรโตคอลความปลอดภย 802.11

8.4 ความปลอดภยบลทธ

การแกปญหา personal area เครอขาย (PAN) บลทธกลายมาเปนมาตรฐาน de facto สวนตดตอบนเซลลโฟนและพดเอ ผคนใชบลทธทจะสงไปไฟลระหวางอปกรณซงเคลอนทไดและคอมพวเตอรเดสคทอป หรอระหวางสองบลทธ -ททำาใหสามารถอปกรณ หฟงวทยหรอโทรศพท บลทธ ทำาใหสามารถเสยงบนชองสญญาณ บลทธ ภายในมระยะการยงทใกล โดยปกตแมวา บลทธ เปนสญญาณสามารถเดนทางระยะขอจำากดมากเทานน(10 mนอยกวา)ม ยงคงความปลอดภยประกาศ กบความเอาใจใสใหเปนความลบขอมล และนาเชอถอ บลทธ SIG (พเศษกลมสงทนาสนใจ) มรวบรวมสถาปตยกรรมความปลอดภยเขาไปในการเจาะจง บลทธ เปนทางการ

8.4.1 สถาปตยกรรมความปลอดภยบลทธ การระลกสงนนการเจาะจง บลทธ จำากดความ “profiles” สำาหรบชนดแตกตางของการใชโดยทวไปเชนเดยวกนกบเชอมตอการทำาเครอขายโปรไฟล โครงราง, โครงรางเครองหฟงเปนหวสวม, แลนเขาถงโครงราง, แฟมขนยายโครงรางและโครงรางพรอมกน โครงรางแตละอนถกเจาะจง กบสวนหนงของโปรโตคอลทเหมาะสมสำาหรบโปรแกรมเหลานนทตกเขาไปในถาหากวาความปลอดภยสำาหรบโปรแกรมตางๆ บลทธ SIG ไดจำากดความนโยบายความปลอดภยโครงรางจำานวนมากมาย แตละสงซงออพชนความปลอดภยเปนการสอสารขอมลแบบดจตอลคำาแนะนำาทเจาะจง และโปรโตคอลสำาหรบการใชแตกตางจำาลอง และโครงราง นอกจากความถทำางานกระฉบกระเฉง พนฐาน บลทธ กลไกความปลอดภยเปนการสอสารขอมลแบบดจตอลถกแสดงรายการขางลาง

การทาทายความนาเชอถอการตอบสนอง- ถาอปกรณปรารถนาถกรบรองเปนของแทโดยอปกรณB จะสง 128 บตสมตวเลข (RAND) เพออปกรณบนการเปนอยทตองการใหทำา ดงนนโดยอปกรณ สงซงใช-คยนาเชอถอความลบบต 128 คน(เชอมคย)แถบหนงในรองเทาบรเวณสนเทา และ-ตำาแหนงทอยอปกรณบตของมน 48 คน ( BD_ADDR ) เพอคำานวณตอบสนองซงเหนดวยวธคดทเรยก 1 เมอตอบสนองถกรบทอปกรณB, อปกรณB ปฎบตกระบวนการคำานวณเดยวกน และเปรยบเทยบผลลพธ กบตอบสนอง ถาเขาจบค, ตอมาอปกรณB ถกรบรองเปนของแท อปกรณ บลทธ ใน ของอปกรณหลายอนใชสวนแบงเชอมคย

สำาหรบนาเชอถอซงกนและกนระหวางสองอปกรณ คยเชอมเดยวกนเคยไดรบคยการสรางรหสลบอกดวย

การนำาแตละแพคเกจมาเขารหสโดยใช E0 - อปกรณ บลทธ อาจจะใชคยการสรางรหสลบของความยาวท 4 ถงบต 128 หวขอใหกฎของประเทศสวนตวคยการสรางรหสลบถกสรางโดย 3 วธคดแตละครงอปกรณเขาไปโหมดการสรางรหสลบ เพราะวาการคมนาคมตลอดเวลาระหวางทาส และเจานาย, เจานายควรจะแนะนำาการสรางรหสลบทตามลำาดบโดยสงแถบหนงในรองเทาบรเวณสนเทาททาส บนดานทาส, มนปฎบต วธคดซงใชคยการสรางรหสลบ, อปกรณอางองตำาแหนงของเจานาย, คานาฬกาปจจบน, และแถบหนงในรองเทาบรเวณสนเทาทจะคำานวณ คยสตรม คอตอมา XOR กบนำาหนกบรรทกทใหรายไดแพคเกจทจะผลตถงรหสลบขอความ

ในตาขายหนงใน Bluetooth piconet สวนอางถงระยะเวลาของเวลาอปกรณพกในตาขายหนงในลานลาน คยเชอมสามารถอนใดอนหนงครงคยถาวร หรอคยชวคราว ขนอยกบโปรแกรมครงคยเชอมถาวรยอมอปกรณทจะใชคยเชอมเดยวกนทจะเชอมตอกบอปกรณอนๆในเนตหนงในลานลานหลงจากสวนอยบน สงนคอประโยชนเมออปกรณจำานวนหนงตองตดตออยางนานๆทบอยๆ คยเชอมชวคราวสมบรณภายในสวน และจะถกทงเมอสวนอยบน สำาหรบเคาเรองแตกตางสชนดแตกตางของคยเชอมถกจำากดความ ขางลางคอขอสรปของคยเหลาน และเมอเขาควรจะใช

การรวมเขาดวยกนเชอมคยถกใชสำาหรบคใหมแตละอนของอปกรณ บลทธ ถาเขาตดสนใจเพอใชชนดนของคยเชอม ระเบยบการทจะตงขนการรวมเขาดวยกนเชอมคยระหวางสองอปกรณถกเรยกกำาลงค, ในสงซงทงอปกรณสรางสมตวเลข และใชมนทจะผลตคย เขาตอมาแลกเปลยนเหลานนสมตวเลข และคำานวณคยการรวมเขาดวยกน มนถกใชกบการเชอมตอหลายอนจากอปกรณเดยว

หนวยเชอมคยอยางจำาเพาะเจาะจงใหอปกรณเดยว และถกเกบในหนวยความจำาทไมลบเลอนมนถกใชในการตดตง หรอเมออปกรณแรกทถกกระตน และไมเคยทถกการเปลยนแปลงภายหลง อปกรณสามารถคยหนวยของอปกรณอนๆเปนคยเชอม ซงคยทางเชอมควรจะเคยใชเปนถกตดสนใจระหวางกระบวนการเรมตน มนถกใชสำาหรบการคมนาคมระหวางสองไวใจอปกรณ

เจานายเชอมคยคอคยเชอมชวคราวทสรางโดยอปกรณหลกทจะแทนทคยเชอมปจจบน มนถกใชสำาหรบชไปยงการสอสารมลตพอยดเชนเดยวกนกบทเผยแพรหลกใหทาสของมน

กระบวนการเรมตนเชอมคยถกสรางการใชรหสเขมสวนแบง และตำาแหนงทอยอปกรณ รหสเขมจำาเปนตองถกเขาไปใหทงอปกรณ มนถกใชการสงผานตวแปรกระบวนการเรมตนการปกปองเทานนเมอไมใชคยอนๆทมใหระหวางทค บลทธ

นโยบายโครงรางความปลอดภย บลทธ ใหภายใตเงอนไขทวไปการมอบเนองจากสงทโปรโตคอล และวธคดรวมทงคยควรจะใชในการตงคาแตกตางสำาหรบโปรแกรมอยางจำาเพาะเจาะจง อยางไรกตาม การเอาใจใสจำาเปนตองถกใชเพอทำาใหแนใจสงนนทปรารถนาความปลอดภยทำางาน หรอวธการตอบโตใหเปนไปไดโจมตถกเพม

8.4.2 ความออนแอ บลทธ และการรกรานใชของรหสเขมระหวางคแสดงความปลอดภยจำานวนหนงเสยง[ความยาว 10 ของเขมสามารถระหวางบต 8 และ 128 คน มนสามารถมา กบอปกรณ หรอสามารถถกเลอกโดยผใช กอนทจะเชอมคยแลกเปลยน, คยกระบวนการเรมตนจะแรกถกคำานวณ, สงซงตามวาระใชรหสเขม ผโจมตอาจจะทำาซงทำาใหหมดคนหาทวเขมเปนไปไดสงถงความยาวอยางจำาเพาะเจาะจง เพอพสจนคาดเดาของมน ผโจมตความตองการเทานนทจะลอบฟงบนชองสญญาณการคมนาคมระหวางสองเหยอทจะจบสมตวเลขในขอความใส และปฎบตวธคดคยกระบวนการเรมตนเมอรหสเขมถกรบ, ผโจมตสามารถคำานวณกระบวนการเรมตน การตอบโตดกวาแมแตใหเขมโจมตจะชกนำากระบวนการเรมตนของสองอปกรณในสงแวดลอมทปลอดภยสวนตว และใกลชดทซงไมใชการคมนาคมไมมสายสามารถถกลอบฟง

ธรรมชาตของเทคโนโลย บลทธ ยอมผผลตอปกรณซงเคลอนทไดทจะเลอกสวนหนงของคาทตงไวททำาใหเหมาะสมสำาหรบแบบตวอยางโปรแกรมอยางจำาเพาะเจาะจง ถงแมวาสงนกลายเปนจำานวนหนง ถงผผลตอปกรณโทรศพทเคลอนท และโฆษณาอยางมประสทธภาพเทคโนโลย,จรงๆ มนสงผลในความปลอดภยเสยงใหขอบเขตจำานวนหนงเพราะวาในกลไกความปลอดภยกรณจำานวนหนงไมทถกเพมด หรอไมใชเขาไปในบญช,อกดวย ถงแมวาความปลอดภยทกำาลงสรางบลอกทถกเจาะจงอยางชดเจนในการเจาะจง หาชนดของการรกรานเครองมอของบลทธปญหาดงน

Bluesnarfing Bluebugging Bluejacking Back-door attack Virus and battery draining attack ในการบกรก Bluesnarfing ผโจมตใชแกไขอปกรณ บลทธ และเสา

อากาศเกยวกบทศทางทจะจบขอมลจากอปกรณ บลทธ จำานวนหนงทสงนนสามารถไมลออกไป ทการงดการเปนอยความออนแอในกรณนคอโหมดไมปลอดภยพนฐานททำาใหสามารถโดยผผลตอปกรณซงเคลอนทไดจำานวนหนง (ดตำากวาสำาหรบรายละเอยด) หลงจากสมบรณ Bluesnarfing ทกสงบนอปกรณถกเปดเผยทผโจมต

ในการบกรก Bluebugging ผโจมตอาจจะควบคมอปกรณ บลทธ อยางระยะไกล, การจดตด หรอ rerouting การคมนาคมโดยปราศจากตามรอย Bluesnarfing และบกรก Bluebugging อยางสวนใหญกำาลงตงเปาหมายโทรศพทเซลล กบสวนตดตอ บลทธ โดยปกตเขาตองการอปกรณเหยออยในโหมด “discoverable” กลาวคอ อปกรณจะตอบสนองใหการสอบถามการคนพบทสงจากอปกรณ บลทธ อนหมนออกโทรศพทเซลลจำานวนมากมายนนอยในโหมดนโดยคาพนฐาน, สงซงทำาใหพวกเขาทตอบสนองใหเหลานโจมต เลวกวาสตวเดรจฉานบงคบ MAC อางองตำาแหนงสแกนสามารถอาจเปนไดคนพบอปกรณเหลานนทสงนนไมอยในโหมด “discoverable” เพราะถกผชวยโดยเครองมอเชนเดยวกนกบ RedFang และ Bluesniff (http://bluesniff.shmoo.com/) ดงเชนสงคราม บลทธ ซงเดน หรอสงครามทกำาลงขบ(คอ กจกรรม ของอปกรณ บลทธ ทคนพบในความใกลชด) คอเปนไปไดการใชเครองมอเหลานอกดวย

Bluejacking รวมถงการสงขาวสารทไมไดรองขอใหโทรศพทเซลล บลทธ ทใชเปนประโยชนความปลอดภยไมมนคง ในโปรโตคอลการจบมอกน บลทธ เมอสองอปกรณคอคมานาเชอถอซงกนและกน ระหวางการจบมอกน, ชออปกรณของงานสงสรรคอนๆจะถกแสดง ดงเชนจดการชออปกรณ, ผโจมตสามารถสง หรอเผยแพรขาวสาร(ความใกลชด สแปม) ทามกลางอปกรณทมองเหน สงทตรงกนขามใหการเขาใจสาธารณะ, แมแรงสนำาเงนไมสอใหเหนการปลนของอปกรณ บลทธ ขอมลสวนบคคลบนอปกรณยงคงทปลอดภย และอปกรณยงคงใตหนวยควบคมทงหมดของผใช แตมนทำาเหยอ

กงวลเกยวกบความปลอดภยของอปกรณเพราะวาไมไดตองการขาวสารจากใครบางคนคอกำาลงทแสดงบนอปกรณจรงๆ

การบกรกประตหลงยอมผโจมตทจะถอเอาประโยชนจากตงขนอยางความลบไวใจ ทกำาลงค ความสมพนธเปาหมายจน บลทธ อปกรณสามารถท“ ”ถกตดตามอยางระยะไกล และควบคมโดยปราศจากการแจงของผใช ไมเฉพาะสามารถขอมลสวนบคคลเชนเดยวกนกบหนงสอโทรศพท, การดธรกจ, ปฏทน, รปภาพ, และจดหมายอเลกทรอนกสถกดาวนโหลดจากอปกรณเปาหมาย, แตอกดวยการบรการทงหมดทมใหบนอปกรณ, เชนเดยวกนกบการเชอมตอเครอขายเซลลลาร, ฝง-กลองถายรป, ผบนทกเสยง, หรอเครองเลนเพลง, ขอใหถกเขาถง และควบคมซอนเรนไมปลอดภย สามารถคน“พบ โหมดของ บลทธ จดเตรยมพาหนะสำาหรบไวรสซงเคลอนทได และการเผย”แพรหนอน โทรศพทเคลอนทของวนนทกำาลงกระทำาระบบไดบงคบกลไกความปลอดภยเครงครดทใหผใชถกจดหาใหเมอการตดตงใดๆของโปรแกรมจะเกดขน, ผคนสวนมากไมยงกบแมแตเพออานขาวสารทเตอน และคลกงายๆ“OK ” หนอนเชนเดยวกนกบหนอน Cabir มไดแสดงวาโทรศพทเซลลสามารถไดโดยงายถกตดตอโดยไวรสซงเคลอนทไดลายตวแปรของหนอน Cabir มแผขยายทามกลางรนโทรศพทสมารท

ระบบปฏบตการซมเบยนกบ บลทธ ทแกไขในโหมด สามารถคนพบ “ ”โหมด เปนหนอน โปรแกรมพยายามเพอเผยแพรโดยการกวาดตรวจสญญาณสำาหรบโทรศพทเซลลบาดเจบไดการใช บลทธ แลวกสงดวยตวเองใหเหยอเหลานน ผลขางเคยงของหนอนนเพอวาแบตเตอรของอปกรณระบายนำาอยางขณะทหนอนการกวาดตรวจสญญาณอยางคาคงทสำาหรบอปกรณอนๆอยางรวดเรว ฟอรมอนๆของแบตเตอรทระบายนำาโจมตใชบางคนอปกรณ บลทธ ทโจมตขบเคลอนอยางเหมาะสมทจะสอบถามเหยอซำา, การระงบอยางมประสทธภาพอปกรณหลงจากเวลาจำานวนหนง รหสทลงชอคอเทคนคทปองกนตอตานการคกคามเหลาน โปรแกรมเหลานนเทานนทพฒนาโดยไวใจผขายจะถกลงทะเบยน และลงชออยางดจตอล, ดงนนผใชมมโอกาสทจะปฏเสธไมไดลงชออยางใดๆรหสการดาวนโหลด

มนเคลยวาในการตอสกบไวรสโทรศพทเคลอนท ผใชจะตองสงทเปนภาระหนาทหมเตอนการเขยนโปรแกรมนาสงสยใดๆ ซอฟแวรกำาจดไวรสซงเคลอนทไดอาจจะชวยผใชตรวจสอบการตดตอเปนไปไดอยางใดๆอกดวย

8.5 ความปลอดภยเครอขาย AD HOCความปลอดภยประกาศในเพอความประสงคโดยเฉพาะเครอขายลอมรอบระยะกวางกวามากของการทาทาย, นอกจากนใหการจดเสนทางทปลอดภยทชนเครอขาย เพราะการคมนาคมใน MANET รวมถงสงหนงกระโดดโปรโตคอลชนเชอมระหวางสองเชอมตอโดยตรงจดและโปรโตคอลการจดเสนทางมลตฮอปแพคเกจผานขามสวนหนงของจด กลไกความปลอดภยใน MANET ควรจะพจารณาดทางเชอมททงสองทำาใหเปนชน และเครอขายทำาใหเปนชนตามอกดวย การสนนษฐานชนทางกายภาพไมมสายทถกทปลอดภยอยางเหมาะสม

8.5.1 ความปลอดภย Link Layer Ad Hocสำาหรบโปรแกรม MANET จบ-ให-การบรการความปลอดภยจบสามารถภายใตเงอนไขโดยนาเชอถอ และการสรางรหสลบ สงซงตามวาระพงพาโปรโตคอลความปลอดภยชนตำากวาให ฟงกชน IEEE 802.11 WEP คอตวอยางของกลไกความปลอดภยชนเชอมทวาไมปกปองสงหนง-กระโดดการคมนาคมระหวางสถานซงเคลอนทได และจดทางเขา เพราะกลาวถงลาสด 802.11i ถกออกแบบเพออางองตำาแหนงปญหาของ WEP อยางจำาเพาะ ในความเสมอกนการแจกทำางานโหมด(DCF) เมอชองสญญาณไหวพรบจด และคนพบมนถกใชโดยการสงผานอนๆ, มนจะแนะทรอจนกระทงถดไปทดลอง แผนนไมประกนอยางใดๆความดบนทางเขาชองสญญาณ ตามความเปนจรง, มนการสนบสนนจดลาสดทามกลางจดทแขงขน เพราะฉะนน, สงหนงโหลดอยางหนกจดอาจจะเกบครอบครองชองสญญาณโดยเหตนโหลดเบาจดอาจจะจะตองหลงเวลาจำานวนมากมาย การแกไขทหลง-ปดแผนถกเสนอขอคดเหน สวนใหญเพอลงโทษจดพฤตกรรมทไมเหมาะสมเหลานน กบหลงมากมาย-ปดคา

แนวความคดหลกการของโปรโตคอลจะเพมการขยายความปลอดภยใหเพอความประสงคโดยเฉพาะโปรโตคอลการจดเสนทาง บนทกวาเพอความประสงคโดยเฉพาะโปรโตคอลการจดเสนทางสามารถถกจดเปนหมวดหมเปนการบรการความปลอดภย “proactive” ทสงนนคออาศยนาเชอถอจด และเปนความลบขาวสารและการสนนษฐานสงนนจดจะขางหนาขาวสารซงเหนดวยเนอหาการจดเสนทางของมน หรอกลไกการจดเสนทาง เมอจดคอถกการตกลงกนได และไมขางหนาขาวสารตามทหวงเอาไว, แผน “reactive” เชน

เดยวกน รบร(ยอมรบ)-ทพนฐานการตรวจสอบจดมงราย และการแบงแยกตามชนพกดถกตองการ

8.5.2 การจดการคยนาเชอถอจดใน MANET มากยงกวาทำาใหซบซอนในซอมแซมเครอขายเนองจากธรรมชาตขององคกรเครอขายชวคราว และเครอขายทเปลยนโทโปโลยจรง แทบจะไมรวมศนยไวใจทางราชการใน MANET และเมอเปนจรงดงวา มนอาจจะไมสามารถเขาถงอยางคาคงทใหทกจดในเครอขาย ดงเชน, แผนนาเชอถอทพนฐาน PKI ไมทำางานโดยตรงถง MANET เพอจดเตรยมนาเชอถอทามกลางจดซงเคลอนทไดใน เชนแจกจายสงแวดลอม, เครองเขยนรหสหรออกษรลบระดบขดสดสามารถถกใช

เครองเขยนรหสหรออกษรลบระดบขดสดแจกจายเครองเขยนรหสหรออกษรลบอยางสงจำาเปนทำางานของจดสวนตวใหจดแตละอนในกลม, ทางราชการศนยกลางทกำาจดดงเชน มนคออาศยแนวความคดทสงนน, ถงแมวาจดสวนตวจำานวนหนงอาจจะถกการตกลงกนได, สวนใหญของกลมสามารถตลอดเวลาถกไวใจ ในฟอรมงายดายทสดของมน ในเนอความของ CA จดแตละอนในกลมของ n จดถอชนทแตกตางของคยสวนตวของกลม, และจดทใดๆสามารถทำางานอยางดวยกนเพอปฎบตความปลอดภยทำางานเปนทงหมดสำาหรบกลม, นอกจาก ใดๆ t - 1 จดไมสามารถ แผนนสามารถคนเคยแจกจายความปลอดภยทำางาน ( คอถาหากวาใบรบรองสำาหรบคยสาธารณะของจด) ของ CA เดยวบนเครองแมขายจำานวนมากมายเครองแมขายแตละอน(จดคงทอยางตรงไปตรงมาในเพอความประสงคโดยเฉพาะเครอขาย) ถอสวนแบงของคยสวนตว(k) มนคำานวณคยสาธารณะตรงกนใหสวนแบงคยสวนตวของมน คยสาธารณะ(K) การตรงกบทคยสวนตว(k) คอถกรไปเครองแมขายแตละอน เพอลงชอใบรบรองดจตอล, เครองแมขายแตละอนสรางลายเซนดจตอลบางสวนการใชสวนแบงคยสวนตวของมน ผผสม(เครองแมขายทวาสวนตดตอโดยตรงผความตองการการบรการ) ความตองการทจะรวบรวมทลายเซนบางสวนนนตามลำาดบ เพอผลตสญญาณใบรบรองดจตอล ดงนน, เครองแมขายการตกลงกนไดจะไมกระทบการบรการลายเซนดจตอลภายใตเงอนไขโดยเครองแมขายเหลานเปนทงหมดเพราะวาเขาสามารถเพยงแคสรางอยางมากทสด t - 1 ลายเซนดจตอลบางสวน ผผสมอยางยงพสจนการรวมเขาดวยกนการใชคยสาธารณะของมน ลายเซนบางสวนยงจากเครองแมขายการตกลงกนไดจะถกตรวจสอบโดยผผสม

การสรางลายเซนบางสวนสำาหรบใบรบรอง CA อยางมาก การคำานวณเขมขน และไมสามารถถกปฎบตบนอปกรณซงเคลอนทได กบการบงคบทรพยากรซงสบทอดมา เพอปรบตวเครองเขยนรหสหรออกษรลบระดบขดสดถง MANET แผนซงผสมเครองเขยนรหสหรออกษรลบทพนฐาน ID และเครองเขยนรหสหรออกษรลบระดบขดสดถกแนะนำา ทพนฐาน ID ระบบการเขารหสลบ จดเตรยมสาธารณะ/สวนตวการสรางรหสลบคยการใช ID จดทจะไดรบคยสาธารณะไดผลของจดแตละอน แผนการสรางรหสลบทพนฐาน ID ประกอบดวยสวธคดดงตอไปน

ตดตงใชตวแปรความปลอดภยสงทนำาเขา และรายงานสาธารณะหลก/สวนตวคคยสำาหรบระบบ ทกจดในระบบรคยสาธารณะหลกแตไมมคยสวนตว

การนำาขอความมาเขารหสใชคยสาธารณะหลก, เอกลกษณของผรบและขาวสาร plaintext และรายงานขอความเลขศนย บนทกสงนนในการสรางรหสลบปรกตพลบบลคคยของผรบและ plaintext ใหอาหารเขาไปในเลขศนย

แยกใชคยสวนตวหลก และ ID (สตรงเอกลกษณ, เชนเดยวกนกบตำาแหนงทอย MAC) และผลตคยสวนตวสวนบคคลทเอกลกษณ ทกจดตองรบคยสวนตวของมนจากมตคยสวนตว (PKG) การบรการ

ไมหองใตดนใชคยสาธารณะหลก, ขอความเลขศนย และคยสวนตวสวนบคคล และ plaintext รายงาน

มนชดเจนสงนนผโจมตไมสามารถไมหองใตดนขาวสารจดตดโดยปราศจากรคยสวนตวหลก หรอคยสวนตวสวนบคคลของจดใหสงซงขาวสารคอถกหว ผสมการจดการคยเขาใกลมเปาหมายการงดสาธารณะทพนฐาน ID/สวนตวมตคคยทจะลดกระบวนการคำานวณเหนอศรษะ มนทำางานดงตอไปน ครงแรก, จดทมสวนอยดวยเรมตนตดสนใจสวนหนงของตวแปรความปลอดภย เชนเดยวกนกบทระดบขดสด และเอกลกษณของเขาทงหลาย ตอมาระดบขดสด PKG ถกปฎบตโดยจดเรมตนเหลานทจะคำานวณสาธารณะหลก/สวนตวคคยในแจกจายแฟชน คยสาธารณะหลกถกรไปทกๆคน คยสวนตวสวนบคคลของจดแตละอนถกสรางอาศยเอกลกษณของจดททำาใหสอดคลองกบใหท-ออกมาจาก-n เครองเขยนรหสหรออกษรลบระดบขดสดจนทนอยกวากวาจดทไมสามารถทำาใหกลบอยางเดมคยสวนตวหลก จดทเขา

รวมระบบตอมาตองตดตอ กบอยางนอยทสดจดททใชสำาหรบ PKG ทจะรบทแบงปนของคยสวนตวสวนบคคล(ไมมคยสวนตว) และคำานวณคยสวนตวสวนบคคล เพราะวา ID จดทมใหปรกตในหวขอขาวสาร, สงนเขาใกลไมตองการกลไกการเผยแพรคยสาธารณะอยางจำาเพาะเจาะจงอยางใดๆ, กรณตามลกษณะปจจบนใน CA เขาใกล ทางอนๆทจะแนะนำาเครองเขยนรหสหรออกษรลบอสมมาตรเหนอศรษะตำา ใหอปกรณโทรศพทเคลอนทกำาลงใชECC เพอจบน ทพนฐาน ECC จำานวนหนงทแจกจายแผนมตคยถกเสนอขอคดเหน, เชนเดยวกนกบสงนนของ Boneh - Franklin

8.5.3 ความปลอดภยเครอขายตวตรวจจบสญญาณไมมสายเครอขายตวตรวจจบสญญาณไมมสายถกใชในเคาเรองโปรแกรม

จำานวนมากมาย รวมถงทตดตามถนทอยของพชหรอสตวบาคลง, การสองแสง และอณหภมควบคมของสงกอสรางและการตดตามเกยวกบธารนำาแขง โปรแกรมตวตรวจจบสญญาณไมมสายมากกวาทวาผานมาใกลชดใหชวตประจำาวนของเราอยบนทาง เปนผลทตามมา, ปญหาความปลอดภยของเครอขายตวตรวจจบสญญาณไมมสายมพนผวในตอบสนองทจะเกยวของวาจดตดขอมลศกยภาพ หรอการลกลอบตอสายดกขอมลสามารถสงผลในความเสยหายจรงจงใหระบบ

หลกการทาทายเพราะความปลอดภยในเครอขายตวตรวจจบสญญาณไมมสายคออปกรณตวตรวจจบสญญาณทถกบงคบอยางจรงจงทสงนนไมสามารถทำาใหสะดวกใชอยางโดยทวไปกลไกความปลอดภยบนคอมพวเตอรเดสทอปสมำาเสมอ ขางลางคอขอสรปของความสามารถอปกรณของจดฝนสมารททพฒนาท Berkeley มหาวทยาลยของแคลฟอรเนย (ดตาราง 8.6) มนคอมลคาบนทกวาชนสวนตวตรวจจบสญญาณไมมสายใหมตงใจใหไดปรบปรงมนยสำาคญสวนประกอบอปกรณเพราะ รกเขาไปเรวในเทคโนโลยตวตรวจจบสญญาณไมมสายแตยงคงลาหลงขางหลงคอมพวเตอรเดสทอปสมำาเสมอ และแมแตPDA

ตวตรวจจบสญญาณไมมสายหวงเอาไวโดยทวไปเพอกระทำาเปนเวลาหลายปโดยปราศจากการแทนทแบตเตอร, การบรโภคพลงทลดดงเชนตลอดเวลาคยออกแบบจดประสงค ถงแมวามนเปนไปไดทจะรวบรวมตวประมวลผลทรงพลง และความสามารถการคมนาคมเขาไปในจดตวตรวจจบสญญาณ, การบรโภคพลงของเขาทงหลายอาจจะเกนสงซงแบตเตอรเลกสามารถสนบสนน ผลทสดกคอ, เชนคาทตงไวอปกรณ, มนทำาไมไดอยากจะเปนทจะใช

กลไกความปลอดภยดงเดมในเครอขายตวตรวจจบสญญาณไมมสาย, โดยปกตเพราะเขาตองการจำานวนมากมายของหนวยความจำาระหวางการคำานวณ และบงคบการคมนาคมมความหมาย และการคำานวณทเหนอศรษะบนจดตวตรวจจบสญญาณ เปนตนวา ลายเซนดจตอลอสมมาตรสำาหรบนาเชอถอแพงเกนไปสำาหรบจดตวตรวจจบสญญาณเพราะวาเขาอาจจะระบายนำาแบตเตอรอยางรวดเรวเกนไป ทางหนงทจะจดเตรยมนาเชอถอจะใชระบบเครองเขยนรหสหรออกษรลบคย สมมาตร ระหวางจดตวตรวจจบสญญาณ, การแบงปนแตละอนคยลบ กบศนยกลางทไวใจสถานอาศยเพอตงขนคยใหม, สองจดใชสถานอาศยเปนไวใจรายอนทจะตดตงชองสญญาณการคมนาคมทปลอดภย

Table 8.6 ลกษณะพเศษของ Prototype Smart Dust Node

ปญหาความปลอดภยอนๆในโดเมนนถกทปลอดภยการจดเสนทางในทงเครอขายตวตรวจจบสญญาณไมมสายสถต และเครอขายตวตรวจจบสญญาณโทรศพทไรสายโทรศพทเคลอนทอนาคต เพอความประสงคโดยเฉพาะโปรโตคอลการจดเสนทางเชนเดยวกนกบ DSR (การจดเสนทางตนกำาเนดพลวต) หรอ AODV (เพอความประสงคโดยเฉพาะตามคำาสงเวกเตอรระยะ) คอไมเหมาะสมอกครงสำาหรบเครอขายตวตรวจจบสญญาณไมมสายเนองจากการคมนาคมเหนอศรษะ และความตองการสำาหรบการรกษาไวสถานะทจดแตละอน

นอกจากน การจดเสนทางขาวสารในเครอขายตวตรวจจบสญญาณไมมสายปฏบตตามแบบแผนของจำานวนมากมายใหสงหนงบอยๆ หมายความวาจดตวตรวจจบสญญาณจำานวนมากมายตดตอกลบสสถานอาศยและเพราะตรงกนขามการจดเสนทางในเพอความประสงคโดยเฉพาะเครอขายของอปกรณซงเคลอนทได ในการประมวลผลการทำาเครอขาย(สอดแทรกการเปนอยขาวสาร

การประมวลผลจดทขางหนา) สำาหรบกลมขอมลทำาใหการจดเสนทางทปลอดภยในเครอขายตวตรวจจบสญญาณไมมสายการทาทายมากกวา จบทใชอยางปรกตใหกลไกความปลอดภยจบไมสามารถใชอยในกรณนเพราะวาเนอหาสาระของขาวสารคอหวขอใหการแกไข Karloff และ Wagner เพราะถกตรวจสอบรายการของโจมตบนการจดเสนทางเครอขายตวตรวจจบสญญาณ

การหยอกลอ, ดดแปลงหรอเลนซำาขอมลขาวสารการจดเสนทาง การขางหนาเกยวกบการเลอก (จดตวตรวจจบสญญาณไมขางหนา

ขาวสารซอสตย) การบกรก Sinkhole (ขาวสารการหยอกลอจดการตกลงกนไดท

จะดงดดการจราจรจากจดใกลซงเหนดวยทวธคดการจดเสนทาง) การบกรก Sybil (จดการตกลงกนไดแสรงทำาจดหลายอน, การจด

เสนทางสบสนวธคดอยางดงนน และการสงผลในการขโมยเอกลกษณเปนไปได)

Wormhole (จดการตกลงกนไดหลายอนสามารถผสมรรวมคดเพอตงขนออกมาจากชองสญญาณแถบ, เครอขายททำาใหยงเหยงอยางมประสทธภาพ โทโปโลย )

การบกรกเตมไปดวย “Hello” (จดเผยแพรงายๆปลอม สวสด ขาวสาร หรอแอบไดยนขาวสารในเครอขายทกระโดดท“ ”จะจดการ โทโปโลย )

ขอควรทราบทการหยอกลอ(จดสงการหยอกลอเชอมชนยอมรบใหผสงของแอบไดยนขาวสาร)

ทามกลางชนดเหลานของโจมต, ขอมลขาวสารการจดเสนทางปลอม, การบกรก Sybil, การบกรกเตมไปดวย “Hello” และขอควรทราบทการหยอกลอสามารถถกไรผลโดยการสรางรหสลบชนเชอมทใช และนาเชอถอรวมทงการพสจนความจรงเอกลกษณ และรบรองเปนของแทเผยแพร การจดเสนทางหลายเสนทาง สามารถคนเคยไรผลเลอกขางหนาโจมต

ตามลำาดบทจะจดเตรยมเครองเขยนรหสหรออกษรลบคยสมมาตร, เครอขายตองทำาใหแนใจสงนนไมใชจดอนๆสามารถปลอมแปลงไวใจสถานอาศย, เพราะจดแตละอนจะรบคยสมมาตร จากไวใจสถานอาศย, สงซงยงแนะนำารบรองเปนของแทเผยแพรเพอปฎบตการสอบถาม นาเชอถออสมมาตรถกตองการเพอทำาใหแนใจจดการตกลงกนไดไมสามารถปฎบตรบรองเปนของแทเผยแพร ทางหนงทจะบรรลผลสงนจะใชการเปดเผยทหนวงของซงเปน

อนกรมของคยทไดรบจากทางหนง สมมาตร โซคยซงตองการสถานอาศย และจดทถกเกดขนในเวลาเดยวกนอยางหลวม สถานอาศยใชคยลบ( Kn) เพราะคยลาสดในโซคย และคำานวณ Kn - 1 การใชทางหนงทำางานฟงกชน F : Kn - 1 = F(Kn) มนใช K1, K2, . . . ระหวางระยะเวลาจำาเพาะทตอมาทจะคำานวณ MAC (โคดทรบรองขอความ) ของแพคเกจทสงภายในชองใสสตางคเวลานน จดทกำาลงรบแพคเกจเหลานนสามารถพสจนความสมบรณรวมทงของแทของแพคเกจเหลานนเมอตอมาสถานอาศยเปดคยในคำาสงเดยวกนเชนเดยวกบเขาคนเคยคำานวณ MAC

8.6 โทรศพทเคลอนทสวนบคคลในเครอขายทใชสาย และความปลอดภยในแวดลอมของการคำานวณ

โทรศพทเคลอนท มความเกยวของอยางใกลชดกบเนอหาความเปนสวนตว โดยทวไปความเขาใจถงบคคล จะประกอบดวยปญหาอยสองแบบ หนงคอดานขอมลสวนตวเปนการปองกน ของ การใชงานของผใชในทกรปแบบ ซงทงหมดจะตองมความปลอดภยตลอดเวลาทสอสารหรอมการเกบคาตางๆดงเชนเมอตวเลขของบตรเครดตเปนการ สอสารบนการเชอตอ Secure Socket Layer (SSL) หรอการรกษาความปลอดภยใหตวเลยจะถกเกบลงในฐานขอมลทเปนแถบแมเหลก ปญหาเหลานเปนเหมอนฝงลงไปในความปลอดภยโทรศพทเคลอนท กลไกหลกในการกษาความปลอดภย หลายๆแบบททำาใหขอมลถกเกบเปนความลบ สามารถโตตอบกนใน บทความนจะกลาวความหมายทสองของเนอหาสวนตวกลาวคอ การบรการความเปนสวนตวเปนซงโดยดงเดมแลวเกยวกบ ทปรบการเปดไดและทำาใหกลไกการทำางานได คยทไขไปสความทาทาย ของเนอหาความปลอดภยคอการโตแยงกนระหวางการแพรหลายของการใชโปรแกรมทเปนทยอมรบการใชงานอยางแพรหลาย ของผใช สงทสามทใกลมาถงซงจะนำาเสนอถง การตอบสนองได ในหลายๆ รปแบบการใชงาน

การเพมขนของการรบรถงความสามารถของชองโหวของความเปนสวนบคคล - ระบบจะแจงถงผใชเมอใดกตามท ขอมลมความเคลอนไหวหรอ เปดการทำางานนอกเหนอการใหบรการหรอ ระบบทผใชนนไมสามารถคอนโทรลได ตวอยางเชนผใช สมารทโฟน จะตองทำาการแจง เมอ ตำาแหนงของผใช นนถกทำาเปนเสนทางโดย การใหบรการพนฐานของเครอขาย

การบำารงรกษา การตรวจสอบ ระบบจำาทำาการเกบ ขอมล ของ เปนความสมพนธของขอมลซงเปนผลกระทบตางๆและการเปลยนแปลงของขอมล ซงหากเปนการขดของของระบบแตจะไมกระทบกบขอมลมากนก

การแจงเตอน ในบางกรณหากผใช มการเปดเผยโดยไมไดมาจากระบบแตมาจากผทเปนปรปกษ กรณตวอยาง ผใชสมารทโฟนนนใช บลทธ สอสารอาจถกตรวจพบโดยบางคนทอยใกลๆและขอมลภายในของผใชจะถกเปดเผยเพราะ การขนถาย ในกรณนทางทดสดระบบจะตองมความสามารถในการคนหาชองโหวของระบบ

ความเปนสวนตว นนซบซอนกวาดานความปลอดภยโทรศพทเคลอนทนนกเพราะคณไมสามารถลากเสนทางระหวางวาขอมลไมสามารถใชและแชรและมนทำาอาไรไดบาง ในความปลอดภย เราจะรวาการการตงระบบความปลอดภย จะตอง เครองมอในระบบ ซงยงไปกวานนทางกฎหมายยงเขามาพวพนดวยบอย นนเพราะความเปนสวนตวจรงๆแลวจะถกรายลอมไปดวยเนอหากฎเพราะระบบจะคอยปกปด คนหา ใช เปดเผย กระจาย ผทเปนอนตรายตอ มความสมพนธกบขอมล ซงดมเหตผลไมนอยในการวางกฎระเบยบของการใชขอมลสวนตว โดยบรษทททำาบรการดานสนเชอ ,โทรศพท,ธนาคารและอนๆ ตวอยางเชน กฎหมายเกยวกบดานความเปนสวนตวจะเพมเรอง Privacy Act of 1974,Electronic Communications Privacy Act(1986) และ No Electronic Thief (NET) Act 1997 ดงนน การตอบรบของการการทาทายดายการความปลอดภยบนเวบเพจ คอ W3C นนทำางานในโครงงานทเรยกวา P3P (Platform For Privacy Preference project) โดยมงหมายถงการขยายของ Framework สำาหรบนโยบายความเปนสวนบคคลนานาชาต

โดยทางตำาราแลวทางรากฐานทเปนตวทาทายในโดเมนนจะเปนการจดหาบรการทมากและใหมในการสงเสรมผลตภณฑและประสบการณของผใชงานขณะทการนต อยในระดบทเปน ผลนาพอใจ ตอไปนเราจะแนะนำาสอง กลไก หลกในขอบเขตนนนคอ ลกษณะของการปดบงรปพรรณและ พนทในการรกษาความปลอดภยของเครอขาย

8.6.1 ลกษณะของการปดบงรปพรรณการปดบง (Anonymity) ในอรรถอธบายของคอมพวเตอรท

เกยวของกบบรการทปองกนการเปดเผยลกษณะ ของผใดกตามทตดตอกบ

การสอสารทางเครอขายหรอมผลกระทบตอระบบ การปดบงนนไมใชสวนบคคลเสมอในบางกรณเราไมตองกงวลในรายละเอยดเมอเราทองเวบทางอนเตอรเนตนนอาจจะถกลอคจากเวบเซฟเวอร ใกลๆทงหมด อกบางกรณโดยอยางไรกตาม การปดบงตองการดงตอไปน

ผใช ไมตองการถกเซนเซอรเมอทองบรการในเวบไซด การตรวจตราขอมลโดยสวนใหญจะกระทำาโดยทางกฎหมาย

ผใช ไมตองการเปดเผยถงขอมลเกยวกบการกระทำาของตนดงเชนขอมลททำาการแชรอยไมวาจะเปนระบบคอมพวเตอรหรอโทรศพท

ผใช ตองการปดบงสวนทเหลอเพอปองกนการขโมยขอมลสวนตวผคนทงหลายคดวา Internet กลาวถง Anonymity นนเปน

เพราะผลสะทอนจากการตนทดงในขณะนนทลงในนตยสาร The New Yoker Magazine พมพในป 1993 ทมการพมพภาพสนขนงอยหนาคอมพวเตอรตดตอกบผอนและมคำาเขยนวาในสงคมบนอนเตอรเนตไมมใครร วาคณเปนหมา ถอเปนโชคราย เมอไมมการออกแบบเปนพเศษของระบบสวนบคคลทสงขน ทกๆการกระทำาของผใช ดงเชนลกษณะของผใช สามารถสบไดโดยจากกลมเลกๆดงเชนกลมตวแทนทางกฎหมายในการจดการทางอนเตอรเนต (ISP) และผดแลทางเครอขายมอำานาจในการพจารณานนตองคมคากบเวลาและเงนกบทเสยไป ในระบบโลกของเครอขายไรสายนน เราจะตองทราบโทรศพททกเครองๆทถกลอคและสามารถทำาการแทบได และโดยเฉพาะทกๆ bit สามารถตามรอยไดถงผสงไดเชนดงนคำาทาทายของโทรศพทเคลอนท ในขอเทจจรงเชนดงระบบ mobile จะตองจดหาทงความเปนสวนบคคลและบญชไว

สงททำาการเชอมตอ ระหวาง ขอมลลกคาทถกตองระหวางลกคาและ เครอขายมหลายรปแบบเชน หมายเลขไอพเครอง หมายเลขโทรศพทมอถอ ซอนชอทำาให ดวยเหตนจงตองลดการปองกนของระบบเครอขายจากการออนแอของกลม ทางออกงายๆทเกยวกบการนำาเสนอของ proxy ระหวางผใชและททไดประโยชน (เชนดงเวบไซดเปนตวอยาง) ในการซอนทอยของเครอขาย ของผใช ตวอยางเชนระบบ proxy anonymity นน anonymizer ผใชสามารถไปถง proxy (anonymizer) ในคำาสงสำาหรบการเออมถงจดมงหมายจะตองใชurl ดงเชน http://www.anonymizer.com:8080/www.yahoo.com ซง proxy นนจะทำาการแทนในนามผใชเมอเขาไปพบใน website แมวา identity ของผใชจะถกซอนจาก Sever ทเขามา

เยยม นแสดงถงการไมไดปกปอง anonymity ของ server ในตอนจบนน proxy สำาหรบ sever นนจะตองมการแกปญหา ในการซอน url จรงของ sever และเปดเผย url ทเปนตวใชผานใหแกผใช เชน Rewebber ซงเปนตวอยางดงเชนของระบบในทง User-Proxy และ Sever-Proxy setup ผใชตองมนใจใน proxy และระบบการตดตอสอสารระหวาง user และ proxy นนตองไมปองกนในเทอมของ privacy ดวยเหตผลน กลไก วทยาการเขารหสลบจะตองไมเสนอในบางระบบเชนดง Mix-net และ Onion Ring

รปท 8.10 ขอตกลงในการเชอมหลายระบบเขาดวยกน

ในการผสมของระบบเครอขายคอการเซต เสนทางใหกบอปกรณในเครอขาย(ผสม)ซงจะตองมการยอมใหปดบงขอความทสง ทใชชนในการเขารหส ซงจะตองใชในการดแลตลอดระยะเวลาในการสงเมล การทองเวบ การโหวตทางอเลกทรอนกส และการจายเงนทางอเลกทรอนกส ไอเดยในการผสมเครอขายนนเปนดงผลของอเมลสวนตว ถกเสนอครงแรกโดย David Chaum ใน ค.ศ.1981 ซงเปนการออกแบบตงแตเรมตนการประมวลผลคอมพวเตอรแตละอเมลกอนหนากอนทจะสงมอบ ผสงจะตองเลอกระหวางอปกรณททำาการรวมจากชนทางขามการผสมเครอขาย หรอการผสมเครอขายทสามารถบงคบใชระหวางทางสำาหรบทกๆขอความ ในตอนหลงการเขาถงอางองกบ ลำาดบชน รปท8.10 กลาวถงสถาปตยกรรมของการจดลำาดบชน ขนอยกบจำานวนของขอความ ซงขอความ(M)จะตองใชรหส ของผรบ(Ka)และการสมตวเลย(R1)ซงผลลพธ จะแนบทายดวยทอยของผรบและการเขารหสในอนาคต

ใชพลบบลคคยของโนดผสมสดทายของเสนทาง(Kn) แตละโนดผสมระหวางทางจะถอดรหสขอความทใชไพรเวทคยและมงไปยงผลลพธของโนด ผสมตอไป ซงขอความทออกมาทโนด ผสมจะสลบตำาแหนงเพอปดบงคำาสงของผทเขามาถงในผลของการใชไมมโนดผสมรจกทงผสงแอดเดรสและแอดเดรสของผรบอนพตขอความของโนดผสมจะทำาการอาน เพอประสงคความเหมอนกนระหวางไอเทมในอนพตและเอาทพตของการผสมโนดทปองกนไวซงดานลางของการผสมเครอขายจะตองการโนดผสมทเชอมไปยงผอนซงนนหมายความวาทกๆคนจะตองทำาแบบปรกตการแกไขในภายหลงมลกษณะใกลเคยงฐานขอมลบตรเครดตของลกจางซงโนดผสมจะเปนตวเลอกและเปนประตไปสการเขารหสสญญาณเพอลดภาระความตองการ ขณะททำาการปดบงขอความ

กลาววาแนวความคดทคลายกน Onion Ring เพอสรางเสนทางทแรนดอมสำาหรบผสงดงเชนไมมเซฟเวอรเฉพาะบคคลทไมรเสนทาง กอนทจะสงขอมลไปยางเสนทางทปดบง เราเตอรแรกจะใสเลเยอรททำาการสรางรหสสำาหรบภายหลง บนเสนทาง ตามทขอความขวางเครอขายอย ยอดของเราเตอรจะลบชนเลอเยอรนออกจากการสรางรหส

ไมเหมอนการผสมเนตและ Onion ring การปฏบตการบน network layer หลายๆคนใชโปรโตคอล application layer เพอออกแบบ web traffic anonymity ซงจะใชกลมคนใหเปนประโยชนเพอ proxy ทซอนทตงของเครอขาย ซงไอเดยพนฐานเปนการผสม user traffic กบอนๆทเปนไปไดอยางเชนดงเชน เวบทเราตองการหรอคำาตอบกลบมายงผสง ไมวาผใชคนใดๆมความตงใจเขามามสวนรวมในกลมคนจะตองม proxy ในกลมคน โดยตอนแรก user traffic จะมงไปยงกลมคนตามความนาจะเปนของเสนทางกอนทจะตรงไปยงเครอขาย สาธารณะ

Freenet นนเปนตวอยางของเครอขายพนฐานทไมมลกษณะเฉพาะ peer-to-peer ซงยอมใหใครกตามทเปนบคคลทวมาอานขอมลไดโดยมการปกปองขอมลสงสด freenet นนสำาเรจไดโดยทรวมของอปกรณเชอมตอเครอขาย สำาหรบในการทำาซำา โดยพนฐานการใหบรการทถกตองสำาหรบขอมล Freenet เปนอกเสนทางหนงในการหลกเลยงการเขาถงขอมลโดยตรง อปกรณจะทำากาสรางตารางเสนทางในการสรางเสนทางนนอปกรณเครอขายจะทำาการถามจากอปกรณทอยขางเคยงเพอทำาการสรางตารางเสนทาง ในการเลอกใชเสนทางจาก hop-by-hop ซงเปนสวนประกอบหนง ใน

IP header ซง Freenet จะสงขอความมาถาม แตจะไมยดกบเสนทางในการสงผานขอมล อปกรณทางเครอขายไมรถงตวตนทแทจรงของกนและกนโดยจะระบเปนชอทถกเขารหสแลวซงเปนผลดกบระบบเครอขายทมหลายๆเครอขาย Freenet จะใชขอความในการเปรยบเทยบระหวางผสงกบผรบวาควรจะใชเสนทางไหนในการรบสงขอมล และจะเขารหสกอนการสงขอมล หลงจากเจอเครอขายเครองรบจะทำากาสงขอความไปยงเครองสงเพอทำาการยนยนตวตน

โดยทวไปการใหบรการเครอขายแบบไรสายจะมสวนสำาคญหลกๆอยไมกอยาง ไดแก การปกปดตวตน การใชไฟลรวมกนการหรอการคาขายผานเครอขาย ควรมการระบบในการรกษาความปลอดภยของขอมลตวอยางเชนและตวอยางของระบบดงเชน ระบบทถกใชสำาหรบ mobile micropayment นนจะเปนดงทเขยนไวใน Hu et al

8.6.2 พนทในการรกษาความปลอดภยการสรางพนทการเชอมตอแบบไรสายใหมความปลอดภยนบวาเปนสง

สำาคญอยางยง ซงจะวากนดวยเรองความสามารถในการรกษาความปลอดภยของขอมลของผใชงานและยงคงมความคลองตวของระบบเครอขาย ซงในความเปนจรงแลวมบรการอนๆอกมากมายทใหบรการประเภทนทจะสามารถครอบคลมการใชงานแบบไรสายใหกบผใชงาน ตวอยางเชน GPS, Wi-Fi เปนตน ซงจะเนนในเรองการรกษาความปลอดภยของขอมลมาก

การแกปญหาหลกๆทางดานความปลอดภยของระบบเครอขายแบบไรสายจะมดวยกนอย 3 ประการ

พนทในการรกษาความปลอดภยของขอมล การปกปดทอยขอตวเองโดยใชนามแฝง การสำารองขอมลในกรณแรกจะเกยวของกบ IEEE ซงเปนกลมงานททำาหนาทเกยวกบ

การกำาหนดมาตรฐานตางๆ ใหกบระบบเครอขาย โดยในแตละเครอขายจะมการนำามาประยกตใชตางกนตามปญหาดานความปลอดภยทเกดขนในแตละเครอขาย อาทเชน การใชแมคแอเดรสในการระบอปกรณเครอขาย หรอกราเขารหสกอนผานเขาสระบบเครอขาย ซงทำาใหเกดความปลอดภยของขอมลมากขน อยางไรกตามกมความเปนไปไดท จะจำากดการเชอมตอของขอมลโดยใหโพรโตคอลเปนตวกำาหนดและการเกบขอมลจะเปนไปตามกฎขนพนฐานโดย

จะปดบงสถานะและเสนทางการเชอมตอในระบบเครอขาย ซงจะไมมผลกบการรบสงขอมลแตอยางใด

ในกรณสองจะเอยถงเรองการใชชอเลนหรอนามแฝง เพอซอนขอมลตวตนหรอลกษณะเฉพาะของตวผใชในระบบเครอขายเพอประโยชนดานความปลอดภย

กรณสดทายจะมงเนนไปในการสรางเครอขายทมความปลอดภยแลวะเปนมาตรฐานสากลดวยจงไดกอเกดระบบทเรยกกนวา Privacy Preference Project (P3P) และ pawS สถาปตยกรรม P3P เปนการคมครองสทธของผใชงาน ประกอบดวย User agents, file อางองสวนตว และนโยบายสวนตว ตวแทนผใชสามารถเปนสวนหนงของเวบบราวเซอรหรอบราวเซอรปลกอนและใช XML ในการเขารหส ผใชบรการอนเทอรเนตแตละรายจงสามารถเลอกทจะยอมรบ หรอปฏเสธ cookies ของเวบไซตตางๆ ทเขาชมไดดวยการปรบเปลยนระดบความเปนสวนตว (Privacy Setting)ในสวน pawS กจะทำางานคลายคลงกน ทสองระบบนออกแบบมาเพอจดการปญหา ทางเวบไซดใหมความปลอดภยมากขน

8.7 สรปสาระสำาคญความปลอดภยในเครอขายไรสายนนเกยวของกบระบบโดยตรง เพราะ

วาเครอขายประเภทนมการขยายตวเพมมากขนทกวน แนนอนวาในการออกแบบยอมตองคำานงถงในเรองการรกษาความปลอดภยใหกบ account ของผใชงานในระบบมาเปนอนดบตนๆ ซงอาจใชเปนอปกรณรกษาความปลอดภยโดยเฉพาะนำามาตอเชอมกบระบบ ในการรกษาความปลอดภยนนไมจำาเพาะเจาะจงเพยงแคระบบใดระบบหนงเทานน ไมวาจะเปนเซลลลาร, ไวเลสแลน หรอ บลทธ ตางกใหความสำาคญในการรกษาความปลอดภยเหมอนกนทงหมด ซงเปนสงททายทายมากสำาหรบการออกแบบใหระบบมความปลอดภยในการใชงานของผใชงานมากทสด ในระบบทนำามาใชกนอยในปจจบน 3G เซลลลารเปนระบบเครอขายไรสายทมความเสยงสงทสดในบรรดาเครอขายไรสาย ไวเลสแลนเปนเครอขายทไดรบความสนใจมากในปจจบนในเรองของการออกแบบระบบรกษาความปลอดภยและยงเปนตวอยางทดในการอธบายถงผลเสยของการออกแบบระบบทไมรดกมเพยงพอ WEP เปนเครอขาย ชนดหนงทมการใชงานอยาแพรหลาย ซงอยบนมาตรฐานการของไวเลสแลน 802.11 ซงมาตรฐาน IEEE

802.11 ไดกำาหนดลกษณะการเชอมตอของอปกรณภายในเครอขายไดมการนำามาพฒนาแลวเรยกชอใหมวา 802.11i แตกยงไมสามารถแกจดออนของแอดเดรสได บลทธ ในการรกษาความปลอดภยของระบบเครอขายชนดนไดมการคนควาเกยวกบการใชงานอปกรณ บลทธ ของผทไมไดรบอนญาตใหใชงาน ถงแมวาจะมระบบรกษาความปลอดภยทดแลวแตกยงมจดออนอกหลายๆจดทยากจะแกไข เครอขายนจงไมไดรบความนยมเทาทควร ad hoc เปนระบบเครอขายไรสายทอาจจะกาวนำาแซงเครอขายไรสายแบบอนๆ ซงจะมระบบรกษาความปลอดภยทนาสนใจอย คอตวทมชอวา MANET

แนนอนวาปญหาสวนใหญของระบบรกษาความปลอดภยของระบบไรสาย นนเกยวการใชงานรวมกนในระบบเปนจำานวนมากซงทำาใหมความเสยงเกดขนจงจำาเปนทจะตองมกลไกสำารองในการรกษาความปลอดภย ไมวาจะเปนอปกรณหรอโปรแกรม

บทท9เสถยรภาพของระบบเครอขายความเรวสง

ปจจยสำาคญททำาใหเกดความลมเหลวของเครอขายความเรวสง ซงระบบเหลานจะรองรบการสงขอมลทหลากหลาย เมอมการสง

หรอรบขอมลบนระบบมากเขาจะทำาใหระบบเกดความยงเหยงเปนเหตใหสามารถรบสงขอมลไดชาลง

ในระดบของการบรการระหวางผใหบรการและผรบบรการ ผใหบรการจะทำาการจดจำาสถานะของผรบบรการเพอใชการการยนยนการเชอมตออยางถกตอง ความตองการรวมกนของการเชอมตอโดยรอยละ 99.999% เวลาจะถกดงเวลามาใช (five 9 s) ในหนงหนวยเวลา เปนเวลาหนวงในการเชอมตอกวา 5 นาทตอป

การเลอกเสนทางการสงผานขอมลจากตนทางไปสปลายทางในระบบทมการเชอมตออยหลายๆจดและสภาพอากาศรอบขางอาจเปนผลทำาใหการสงขอมลเกดการขดของขนได การปองกน Protection switching เปนกญแจสำาคญทขจดปญหาเหลานออกไปบางองคกรจดตงกลมคนขนมาเพอคอยดแลและแกไขปญหานโดยเฉพาะ โดยทวๆไปแลวการปองกนจะถกยกใหเปนหนาทของตวอปกรณทเปนศนยกลางควบคมการทำางานในระบบเครอขาย นอกจากนนยงตองสามารถทำาการซอมแซมระบบไดอยางรวจเรว ภายหลงจากเกดความเสยหายในระบบเครอขาย

พวกเราเปนกงวลวาในอนาคตระบบเครอขายทมอยในปจจบนจะไมสามารถรองรบเทคโนโลยทใหมๆ ทเกดขนมาไมแตละวนไมวาจะเปนทางดานอปกรณทเชอมตอกบระบบเครอขาย เทคนคการเชอมตอสญญาณแบบใหมๆ หรอในเรองของระบบปฏบตการใหมทมมากมายเหลอเกนในปจจบน

แตปญหาสวนใหญทเกดขนไมไดมาจากตวระบบเองซกเทาไหรแตเกดจากตวผใชเองและยงมสาเหตอนๆนอกเหนอจากนอกมากมาย ปญหาทพบกนบอยๆในระบบเครอขายเชน การควบคมในการรบสงขอมล องคประกอบ ในการออกแบบระบบคอจะตองมการสำารองขอมลหรอเสนทางผานของขอมล ซงเมอเวลาเกดความ

ขดของของระบบเครอขายจะไมสงผลกระทบกบระบบเครอขายแตทงนกจะขนอยกบบรหารจดการระบบเครอขายดวย

อกสาเหตหนงทเปนปญหาของระบบคอปญหาเรองภยธรรมชาตหากไมมการจดการทดอาจทำาใหเกดความเสยหายใหกบระบบเครอขายและขอมลทสำาคญตางๆ

การวางแผนระบบปองกนจะตองมควายดหยนและเอออำานวยใหการดแลเครอขายเปนไปไดอยางสดวก ตวอยางเชน การสรางเสนทางสำารองในการเชอมตอระหวางเครอขายกอนการใหบรการจรง การเพมอปกรณเขาสระบบเครอขายเพอเพมประสทธภาพในการทำางานของระบบได

ในเครอขายขนาดใหญอาจมการออกแบบระบบเครอขายทไมดเทาทควรทำาใหลดทรประสทธภาพของระบบไมเพยงเทานนยงสงผลการดแลหรอการขยายระบบเปนไปอยางยากลำาบาก และตองการคนดและจำานวนมาก ทางหนงในการแกปญหาคอการทำาใหระบบเนตเวรคมขนาดเลกลง เพอ ใหงายตอการรกษาความปลอดภยของระบบ และยงทำาใหสามารถทำาใหการซอมบำารงระบบเครอขายเมอเกดการขดของเปนไปไดอยางรวจเรวอกดวย

เวลาในการซอมแซมระบบนนจะขนอยกบขนาดของขอมลและตวโปรแกรมทอยในระบบ สำาหรบเครอขาย SONET/SDH จำากดเวลาทยอมรบไดในการซอมแซมระบบคอ 60 วนาท เมอเกดการขดของของระบบเครอขายในขณะทมกเชอมตอกบเครอขาย จะสญญาณแจงเตอนนานประมาณ 60 วนาท ในโลกปจจบนสงทสำาคญคอขอมล 60 วนาทเปนตวเลขทยอมรบไดในการหนวงเวลาของระบบเครอขายขนาดใหญ ขอดของเทคโนโลยนคอสามารถใชอนเทอรเนตไดเรวขนในราคาทตำาลง เวลาใน 1 วนาททความเรว 10 Gb/s จะสญเสยความเรวในระดบกกกะไบตซงผใหบรการจะพยายามใหมการสญเสยความเรวใหนอยทสด

แตไมสามารถยนยนไดวาจะปองกนได100% แตสงทผใหบรการทำาไดคอเลอกเสนทางเชอมตอเครอขายทดทสดใหได เพราะวาระบบจะทำาการเลอกเสนทางโดยไมไดคำานงถงแบนวดจงอาจเกดความหนาแนนของระบบเครอขายได การปองกนในระบบเครอขายมกทำากนในเลเยอรท๑,๒และ๓ ซงในแตละเลเยอร ซงในแตละเลเยอรจะใหความสำาคญในการปองกนแตกตางกนไป เรามเทคนคมากมายในการปองกนระบบเครอขายทใชกนอยในปจจบน ถกพฒนาขนจาก ระบบเครอขาย SONET และ SDH ซงในแตละฟงกชนในแตละเลเยอรในระบบปองกนเครอขายสามารถผสานงานเขากนไดเปนอยางด

9.1 แนวคดพนฐานวากนในระบบรกษาความปลอดภยในเครอขายในปจจบนนนจะ

วากนดวยเรองการรกษาเลนทางเปนสวนใหญ ททำางานรองรบการสงผานขอมลในเครอขาย นนหมายถงการสำารองเสนทางในการเชอมตอเพราะหากเกดเหตการณไมคาดฝนทำาใหเสนทางทใชรบสงขอมลในปจจบนเกดความเสยหายไมสามารถใชการได กไมสงผลตอการรบสงขอมล

การออกแบบระบบรกษาความปลอดภยของโทโปโลจตางๆ SONET/SDH ไดนำามารวมแตะละโทโปโลจเขาดวยกนเพอทำาการองรบการทำางานระหวางกน

ในการปองกนระบบในเครอขายควรทำาการแชรกนทงระบบ เพราะวาในการระบบนนจำาเปนทจะตองสญเสยแบนวดใหกบระบบเพอรกษาความปอลดภยซงอาจเปนสาเหตในการทำาใหเกดความขดของในการรบสงขอมลได

เพอแกปญหานเราจงทำาการสรางตวบงชถงสถานการเชอมตอในระบบเครอขายทเชอมตอกนในหลายๆเครอขายและแชรระบบปองกนเครอขายกบความเรวในการสอสารของระบบ อกขอดหนง

ของระบบนคอจะเนนการบรหารงานใหมแบนวดเพยวพอทใหบรการกบเครอขาย แตถามเหตการณทำาใหระบบไมสามารถรกษาความปลอดภยไดอยางปกต ทางแกคอตองเขาไปจดการระบบใหมเองโดยผใชทอยในระบบ ซงโดยทผานๆมาแลวระบบจะทำาการหาเสนทางหรอซอมแซมเสนทางใหโดยอตโนมต อยางไรกตาม ระบบนไดมการพฒนามาอยางตอเนองเพอใหไดระบบทมประสทธภาพมากทสด และยงไดมการนำา terminology เขามารวมดวยในระบบดงรป 9.1

ในการเชอตอแบบ point-to-point ทการสรางทางผานไวสองเสนทางแตจะใชเสนทางเดยวเทานนในการสงผานขอมลในทศทางเดยวกนกบการปองกน ซงในแตละเสนจะแยกอสระตอกน ดงนนถามสายเสนทางไหนถกตดการเชอตอกบระบบกจะสามารถใชอกเสนทางหนงได ซงสวนใหญจะใชวธนในการปองกนระบบเครอขาย

มนเปนการงายทจะทำาการรกษาสภาพการเชอมตอใหเปนปกตเมอใชระบบนดงตวอยางท 9.1 ถาเกดการสงผานขอมลทงตวขอมลและการปองกนระบบจะเลอกเสนทางทดทสด แตอยางไรกตามเครองรบตองแจงใหเครองสงทำาการตดสญญาณการเชอมตออกเสนทาง ในการองขอเสนทางม โปรโตคอล ชนดหนงทมารองรบงานนโดยเฉพาะคอ ASP

ในการทำางานของ APS เมอมการขดของของการสงขอมลในสายสญญาณระบบจะระงบการสงขอมลของเครองแลวจะทำาการเปนมาใชสายสำารองแทน APS แททจรงแลวเปนโปรโตคอล ทอยในระบบ SONET และเครอขายความเรวสงตางๆ ทงนเพราะวาสามารถแกปญหาของลกคาได

การสงขอมลของทงสอบแบบนนทำากนบนสายสญญาณ เมอสายสญญาณถกตดขาด เครองตนและปลายทางจะทำาการคนหาเสนทางใหมในการสงขอมล ในทางตรงกนขามนนถาหากไมม APS มารองรบ ระบบกจะไมสามารถดำาเนนการทำางานตอไปได

APS จะทำาการเรยกรองสทธในการแชรแบนวดโดยสวนใหญจะถายโอนแบนวดใหกบสายสำารองเนองจากสามารถทำาการไดงาย

รปท 9.1รป A คอรปการดำาเนนการในระบบปกตรป B คอการเปลยนทศทางการปองกนหลงจาก fiber ถกตดรป C คอหลงจาก fiber ถกตดระบบพยายามทำาการกระบบกลบมาให

คำาถามทวาจะทำาอยางไรถาเกดเหตการณ ททำาใหเสนทางเกด

การขดของ ระบบจะแบงแยกเสนทางออกเปนสองเสนทาง แลวทำาการหนวงเวลาในการสบเปลยน ดงรปท 9.2 ในรป B จะทำาการเชอมตอกบเสนทางจากตนทางไปสปลายทางในรป C จะทำาการเลอกเสนทาง ระบบจะทำาการเปรยบเทยบเสนทางระหวางจดเชอมตอทมความกวางในการรนสงขอมลสงสดในระบบโทโปโลจแบบ Ring ในรป D ในการเลอกเสนทางการสำารองในการเชอมตอ

ในทายสดนระบบการปองกนในแตละระดบชนการทำางานในระบบเครอขาย ยงสามารถแบงออกเปนชนยอยๆขางในแตละเลเยอรไดอก และสงทสำาคญไมแพการปองกนระบบเครอขายใหเปนไปอยางปกตแลวยงตองคำานงถงเวลาทใชในการเชอมตอกบระบบอกดวย ในระบบ SONET/SDH ในหลายๆกรณในการสงผานขอมลแบบ end to endการเลอกเสนทางในการสงผานขอมลสามารถเลอกไดทงชองสญญาณความเรวสงหรอชองสญญาณความเรวสงแบบ multiplex

รปท 9.2 เสนทางการเดนทางของขอมลในระบบเครอขายแบบ RINGS

รป A เปนรปแบบการเชอมตอในรแบบปกตรป B เปนสบเสนทางการสงขอมลแบบ end to endรป C การสรางเสนทางสำารองในการสงผานขอมลในกรณทเสนทางเกดการขดของรป D การเลยงเสนทางเมอเกดการขดของของขอมล

9.2 ระบบความปลอดภยในเครอขายความเรวสง ( SONET/SDH)เปาหมายหลกของการวางระบบเครอขาย SHD และ SONET คอการจดใหมการพฒนาทมความหมายใน ความเชอมนและการใชประโยชนของระบบเครอขายโดยรวม ซงจะถกดำาเนนการผานกลมกวางๆ ของเทคนคการปองกน เหมอนวารายการ ถกใชทงใน SONET และ SHD แตวามระบบการตงชอทแตกตางกน เราจะกำาหนดระบบการตงชอของทงสอง แตสวนใหญจะใช ระบบการตงชอของ SONET

ตาราง 9.1 สรปรายการปองกนใน SONET และ SDH N แสดงถงจำานวนจำานวนของ Working Interface ทเออเฟ อ Single Protection Interface รายการกระทำาเชนเดยวกนทงใน Path Layer หรอใน Line Layer ของ SONET/ Multiplex Section Layer ของ SDH รายการสญญาณ Path Layer ประกอบดวยสญญา UPSR หรอ 1+1 SNCP รายการสญญาณ Line Layer ประกอบดวย BLSR หรอ MS. SPRing

เทคนคการแบงประเภทรายการการปองกนทแตกตาง ถกแสดงไวในตาราง 9.1 เราเรมโดยการอธบายชนดความแตกตางของกลไกลการปองการทถกใชในลงค Point to point งายๆ และกลาว

ถงวธการประยคใชสำาหรบเครอขาย รายการปองกนในแตละรายการสามารถมความสมพนธกบ Layer ในระบบเครอขายได SONET ประกอบไปดวย Path Layer และ Line Layer การปองการทงสอง Layer ถกใชในทางปฏบต การปองการในระดบ Path Layer จะสงผลกบแตละ Path หรอ Connection ในระบบเครอขาย ตวอยางเชน ในสญญาณ OC-48 (2.2Gb/Sec) ทสนบสนน STS-1 connection รายการ Path Layer จะจดการแตละ connection ของ STS-1 แยกกน พรอมทงสลบ connection แยกกน และในทางตรงกนขาม รายการ Line Layer จะทำางานบน Connection ทงหมดในขณะใดๆ และไมจำาแนกความตางระหวาง Connection ทเปนสวนหนงของสญญาณทงหมด ในตวอยางกอนหนาน รายการปองกนแบบ line Layer ในสญญาณ OC-48 จะสลบทก connection ภายใน OC-48 เขาดวยกน (มขอยกเวนบางอยางสำาหรบคำาอธบายน สญญาณ BLSR ทเราจะเรยนถดจากนไป จะจดกลม bit สำาหรบแตละ Connection ในกรณทลมเหลว Connection เหลานนจะถกกำาหนดใหสลบ นจำาเปนตองทำาใหแนใจวาบาง connection สามารถทงการปองกนไดถาจำาเปนจรงๆและสามารถดแลหมวดลมเหลว เราดไดในหวขอ 9.2.4)

9.2.1 การเชอมตอแบบ Point to Point กลไกการปองกนโดยหลกๆแลวม2 ขอในระบบ point-to-

point คอแบบ 1 + 1 และ 1:1 หรอนอกจากนนคอ 1: N ดงจะแสดงในตวอยางท 9.3

ใน 1+1 Protection, Traffic คอการสงผาน ขอมลโดยจะแยกเสนทางการสงออกจากกนเปนสองเสนทางเพอสงขอมลจากตนทางสปลายทาง เปนทเขาใจวาระบบจะทำาการหาเสนทางสำารองในการสงขอมล เมอเกดการขดของของเสนทางหลก จากเทคนคการปองกนทรวดเรวและการรองขอ signaling โปรโตคอล ::ซงโดยปกตแลวจะทำาการเชอตอโดยใชเทคโนโลยแบบ Full duplex ซงใน

ความเปนจรงแลวทเครอง A และเครอง B ทำาการสงขอมลอยบนเครอขายเดยวกนแตจะใชเสนทางเดยวเทานนในการสงขอมล แตอกเสนทางจะทำาการสงจาก B กลบไป A ไดอยางอสระไมขนตอกน

ในระบบ 1:1 ยงคงใชเสนทางในการรบสงขอมลจากตนทางไปสปลายทาง ซงในรปแบบการสงขอมลในรปแบบนจะเนนเวลาในการรบสงขอมลในกรณเดยวกนหากเกดการขดของของการรบสงขอมล ระบบจะทำาการใชเสนทางอนในการสงขอมลแทนโดยมเทคโนโลยทชอวา APS ซงในระบบนมความเรวในการรบสงขอมลเทยบเทาแบบแรก เพราะวาในการใส สวนหวของขอมล อยางไรกตาม ในระบบ 1:1 กยงเหนอกวาในดานการรกษาความปลอดภย ดงนนจงถกใชในการสงแบบ lower-priority ถาการทำางานของ fiber ถกตด การขนสงของ lower-priority ยงคงอย. อปกรณ SONET และ SDH ทใหการ รองรบใน lower-priority น หรอ Extra traffic ปจจบนยงไมคอยไดถกใช แตกอนจะถกใชในสวนการสงขอมลของ lower-priority หรอการสงขอมลเสยง. ขอดอกขอหนงคอการปองกนแบบ 1:1 สามารถแบงการปองกน เสนทาง ในสวนการทำางานของหลายๆ เสนทาง ได ในการปองกนทนอกเหนอจากทวไปๆ คอ 1:N ซงการทำางานของ fiber N ซงจะถกแบงใชในสวนของ Single Protection fiber ใน SONET/SDH เมอมสญญาณเขามาจะถกตรวจสอบอยางตอเนอง ซงเปนการปองกน Switching เมอสญญาณลมเหลวหรอการลดลงของสญญาณ

รปท9.3 ความแตกตางของเทคโนโลยในระบบ point-to-point (A) 1+1 จะทำาการสงผานขอมลขอมลไปพรอมๆกนทงสองทาง (B) 1:1 จะสงสญญาณในเสนทางปกตแตหากเกดความขดของของเสนทางการสงขอมลปกตระบบจะทำาการสบเปลยนไปใชเสนทางสำารองแทน (c) 1: N นนคอการนำาเอาขอดของ 2 ระบบมารวมกนซงความหมายของตว N คอจำานวนเสนทางทใชในการแชรของการปองกนและการสงขอมล

9.2.1 ลกษณะเฉพาะของระบบ RINGSRing network กลบมาเปนทนยมอกครงในโลก โดย ring

เปน Simplest topology ซงเปนการเชอมตอแบบ 2-connected โดยแบงเปน 2 สวน ระหวางค node บางคหรอ destination node โดยประสทธภาพของ ring นเกยวของกบ

Single physical ring ในการเปรยบเทยบระหวางแตละ site และ hub node ทตองการการเชอมตอ 2 ดาน ระหวางแตละ site และ hub

โดยโครงสรางพนฐานทจำาเปนทใชในปจจบน คอ SONET/SDH ring ซง ring นถกเรยกวา Self-healing เปนการปองกนโดยอตโนมตเมอการเชอมตอลมเหลวและทำาการเปลยนเสนทางใหมหรไปยง node ทนททนใด Ring ถกใชใน SONET/SDH ซงถกเพมในสวน ADMs ใน ring เพอปองกนการลมเหลวในการขนสง

ชนดของ ring มจดหมายแตกตางกน 2 อยางคอ ในทศทางการขนสงและใชในการปองกน Unidirectional ring จะถกสงในสวนแคใน ring เทานน ดงแสดงในรปท 9.4

รปท 9.4 A unidirectional path-switched ring (UPRS) เปนสวนหนงของ เสนทาง ทถกพจารณาในการทำางานและการปองกนใน เสนทาง การสงผานบนการทำางานของ ระบบ ในทศทาง clockwise และบนการทำางานของ

ปองกนในทศทาง counterclockwise ซงการปองกนจะถกทำาทสวนของ layer

A bidirectional ring สามารถสงไดใน 2 ทศทาง ดงรปท 9.5 ซงเปนการแสดงของ four-fiber bidirectional ring โดยมการสงจาก A ไป B ซงมทศทางการสงแบบ clockwise และการสงจาก B ไป A ซงมทศทางการสงแบบ counterclockwise ใน ring ทงใน unidirectional และ bidirectional SONET/SDH rings ทงหมดมการเชอมตอแบบ bidirectional และมจำานวนการใช bandwidth เหมอนกนทง 2 ทศทาง การเชอมตอแบบ 2 ทศทาง จะมทสทางการสงขนอยกบชนดของ ring ดงเชนใน SONET/SDH ring เมอการเชอมตอลมเหลวสามารถกลบคนสภาพเดมใน 60 ms และอก 10 ms จะถกแบงใหสญญาณไปยง node อนๆใน network

สถาปตยกรรมแบบ 3 ring ไดถกวาง UPSR, BLSR/4, และ BLSR/2 ในสวน SDH มการปองกนแบบ 1:1มการทำางานในสวน topology ซงถกเรยกวา Subnetwork connect protection (SNCP). SDH เปนสวนซบซอนซงถกแบงเปน ring/4 (MS-SPRing/4) และ MS-SPRing/2 ซงเหมอนกบ BLSR/4 and BLSR/2

รปท 9.5 four-fiber bidirectional line-switched ring (BLSR/4) มการทำางาน 2 เสนทางและกรปองกน 2 เสนทางซงสงผานระหวาง 2 node เปนการสงผานปกตในสวนสนๆระหวางกนและระยะหางหรอ ring switching จะกลบคนหลงจากระบบ failure

ตารางท 9.2 ขอสรปของลกษณะการเชอมตอกนของสถาปตยกรรม ตางๆ

9.2.3 ทศทางการใชเสนทางในระบบ RINGรปท 9.4 แสดง UPSR สาย Fiber 1 เสนใชในการเชอมจาก

จด A ไปจด B โดยจะทำางานแบบอตโนมต การทำางานขอ ง สายไฟเลอรในการควบคมแบบ ตามเขมนาฬ กา และบน Protection fiber ในการควบคมแบบทวนเขมนาฬากา โยทำางน Path Layer ทอนญาต ใหใชสำาหรบการตดตอสอสาร ทจด B จะมการเฝาตดตาม ยางตอเนอง ทงการทำางานและการปองกนสาย fiber และเรมดำาเนนการรบขอมลสงเกต Switch-Fiber จะทำางานหลงฐาน Connection by Connection การเฝาดนนคอพนฐานวธการแบบ 1+1 แตจะถกยกเวนในกรณท Operating ใน Path Layer ใน Ring ทมากกวาท Line Layer ใน Point to Point

สงเกต แบบ การปองกนมนคอ องคประกอบทมผลตอการจดเตรยมและกำาหนด ความมตองการโดยไมมสญญาณ โปรโตคอล หรอการสอสาร ระหวางจดในกรณทมความตองการสงสำาหรบจดประสงค ในการ Protection คอจะเทากบ Working Capacity

ขอเสยเปรยบหลกของ UPSR คอไมชองวางทจะสามารถนำากบมาใชใหมของ fiber Capacity เพราะ แตละความสามารถในการใชงานทเชอมตอบนทกลงคใน ring จะมการปองกน ชองสญญาณกบ UPSR สำาหรบตวอยางการเชอมตอ 51 Mb/S ของชองสญญาณ และการควบคมสญญาณ ท 622 MB ดางนน Ring ควรจะ รองรบทงหมดของการเชอตอ

UPSRs เปนทนยมใน Lower Speed และ Access network เราจะเหนวา ความสามารถในการรองรบการขนสงนน UPSR สามารถรองรบไดเหมอนกบ Ring Architecture ดวยเหตนทำาให UPSR นนถกเปนตวเลอกเนองจากใชงานงายและราคา

ถก โดยความเรวของ Ring ปจจบนเปน OC-3(STM-1) และ OC-12(STM-4)

9.2.4 การสอสารแบบสองทศทางในระบบ RINGSBLSRs จะไมเหมอนกบ UPSR ทมการควบคมทสายหรอใน

สวน Multiplex Section BLSR เหมอนใน SDH ทถกเรยกวา Multiplex Section

จากรปท 9.5 แสดง 4-Fiber BLSR ทง 2 Fiber จะถกใชในการทำางานของ Fiber และอก 2 สวน จะถกใชในการปองกน ซงไมเหมอนกบ UPSR ททำางานใน BLSR ทสามารทำางานในสองทศทางบน Ring

จากตวอยางในการทำางานของ Fiber ทสงจาก Node A ไป Node B ไปดวย CBCK wise ตาม Ring ในขณะทสงจาก B ไป A ไปดวย counter clock wise ตาม ring โดยปกต การขนสงในสองทศทางของการเชมตอเปนเสนทางสนๆ BLSR สามารถรองรบไดถง 16 Nodes ขดจำากดในการใช Node identifier ได 4 bit ซงความยาวของ Ring สงสด 1200 KM เนองจากเปนสวนท จำาเปนตอการกลบคนเมอระบบลมเหลว

BLSR/4 เปนกลไกลการปองกน มการใชงานอย 2 แบบ คอ Span switching และ Ring switching ในสวน Span switching ถาผสงหรอผรบ อยในขณะทการทำางานของ Fiber ลมเหลว การขนสงจะถกปองกนโดยเครอขายระกวาง 2 Nodes บนลงคเดยวกน ทแสดงดงรป 9.6

ในกรณของ Fiber หรอ Coble Cut นนจะถกตดตง โดย Ring Switching ดงรปท 9.7 สมมตวา Link AB ลมเหลว ทำาใหการสงลมเหลว ดงนน Node A และ B รอบๆ Ring จะถกปองกนโดย Protection Fiber Ring Switch จะถกใชปองกน Node ลมเหลว

BLSR/2 แสดงในรปท 9.8 คของ Fiber จะถกใชในการขนสงแตครงหนงของความสามารถจะทำาหนาทปองกน ซงไมเหมอนกน BLSR/4 ท Spam Switch (ชองสญญาณ) สามารถใชชองการสงระดบทระหวางการควบคมใหปกต ในการขนสงแบบนจะถกสงถาชองสงสญญาณนนตองการเมอระบบบรการกลบสสภาวะปกต

BLSRs ใหความสามารถของระยะทาง เมอ Protection Bandwidth ถกแบง ระหวางการเชอมตอ, ระยะทางทเหมาะสม ทสด ดงรปท 9.9 ในตวอยาง UPSR ดานบน พจารณา BLSR/2 ทการทำางาน 622 MB/S (OC-12) การเชอมตอท 51 Mb/s STS-1 จากรปแสดงวงแหวนทม 4 Nodes และ การเชอมตอระหวาง Node แตละค

รปท 9.6 เกดความขดของท BLSR/4 ระบบจงทำาการเปลยนจากเสนทางของการสงขอมลปกตเปนเสนทางสำารอง

รปท 9.7 เกดความขดของท BLSR/4 ระบบทำาลงทำาการหาเสนทางใหม

รปท 9.8 ระบบจะใชแบนวธครงหนงในการซอมแซมระบบ

รปท 9.9 ระบบจะทำาการเชอมตอกบแบบ Multiple และมการ share protection bandwidth

จากตวอยางความสามารถจะเพมขนเมอ จำานวน Node ใน Ring เพมขน ดงตวอยางขางขนทม 8 node OC-12 BLSR/2 รองรบการเชมตอ 48 S+S-1

ดงนน BLSRs มประสทธภาพกวา UPSRs ในสวนของการขนสง ดงนนประสทธภาพ Protection Capacity ใน Ring คอการถกแบง ของการเชอมตอทงหมด ดวยเหตผลน BLSRs จงถกพฒนาใน Long- Haul และ Interoffice Networks ซงสงขอมลไดมากกวา Access Networks ปจจบน Ring ทำางานท OC-12 (STM-4), OC-48 (STM-64) ขณะท Long-Haul นถกพฒนา BLSR/4S ซงสามารถควบคมความลมเหลวไดมากกวา BLSR/2S

รปท 9.10 การเชอมตอทไมถกตองทำาใหระบบไมสามารถทำาการเชอมตอระหวางโหนดได ดงรป A นนคอในระบบททำางานปกต รป B นนคอหลงจากทnode ทหนงไมสามารถทำางานได

อยางไรกตามการทำางาน ใน BLSR/4 จะซบซอนกวาใน BLSR/2 เพราะวามการทำางานรวมกบ Multiple Protection BLSRs มความซบซอนกวา UPSRs ซงตองการชองสญญาณระหวาง Node มาก

การตรวจสอบ node ทไมสามารถใชงานไดใน BLSRsในปจจบนนไดการตรวจสอบเสนทางทไมสามารถใชการไดดเปนเรองปกตไปแลวซงอาจ เกดไดจาก Fiber Cut แตโดยปกต การลมเหลว ของ Node จะเกดไมเหมอนกน เนองจากมหลายกรณเชน การใช Dual power supplies และ Switch fabrics

อยางไรกตามการลมเหลวท Node เนองจาก Catastrophic Event หรอความผดพลาดจากคน การควบคม Node Failure ใน BLSR ใหกลบคนสภาพเดมนนยาก เนาองจาก Node ตดกน ซง Link ลมเหลวนน ทำาใหการเชอมตอของ Node

ลมเหลวดวย สำาหรบตวอยางดงรปท 9.10 เมอจด 1 ลมเหลว ทำาใหการเชอมตอ จด 6 และ 2 ลมเหลว และทำาใหการสงกลบรอบๆ Ring ขนตอนในการคนสสภาพเดมน สามารหลกเลยงการพลาดการเชมตอใน Node ทลมเหลวคอจดเรมตนและทายสด ซงเรยกวา squelching โดยจะถกระงบเมอเกดการลมเหลวท Node

ระบบทมความเรวในการขนถายขอมลตำาใน BLSRsBLSRs สามารถไดใช Protection Bandwidth กบ Low priority หรอ Extra traffic ภายใตการทำางานปกต อยางไรกตาม การเพมสญญาณ เมอเกดการลมเหลวของระหวาง Node นน จะทำางานอยใน Protection Node และสงไปยง Low-priority

9.2.5 การเชอมตอกนของระบบ RINGS Single Ring เปนสวนหนงของ Network ทงหมด ซง

Network ทงหมดจะประกอบดวย Multiple Ring ทเชอมตอกบสวนอนๆ เพอสปลายทาง การเชอมตอของ Ring ทอยตดกน เปนการเชอมตอทดานขางของ ADMs 2 ตว จากดานหนาไปดานหลงของ Node ดงรปท 9.11 การเชอมตอสามารถทำาโดยใช UPSRs ทถกเชอมตอตดกนโดยสญญาณ DS3

ปญหาคอ ถาม ADMs 1 จด ลมเหลว หรอมปญหากบสายทเชอมระหวาง ADMs ทำาใหการเชอมตอระหวางกนถกทำาลาย ทางแกไขคอการใช Dual homing ทใชการเชอมตอระหวาง เรมบน Ring และ Hub 2 จด ดงนนถาม Hub ลมเหลวเพยงหนงจด จดอนจะสามารถ Take Over ได

มากกวานน การตดตงการเชอมตอแบบแบงแยกระหวาง Node เรมและ Hub 2 จด สถาปตยกรรมทใชคอ Multicasting หรอ drop-and-continue ใน ADMs พจารณาการเชอมตอระหวาง End Node และ Hub 2 จด (Hub1 และ Hub2) ในรปท 9.12 ใน Clock-wise direction ของ Ring ADM ท Hub 1

ถกหยดสงผานการเชอมตอแตในเวลาเดยวกนการสงนจะถกสงตอเนองทง Ring ขณะทจะหยดอกครงท Hub 2 นอกจากนน Counter clock wise direction, ADM ท Hub2 จะ Drop-and-continue ไปยง Hub 1 นอกจากนการเพม Bandwidth ถกใชระหวาง Hub 2 จดบน Ring ดวย

รปท 9.11 ในการเชอมตอแบบ Back-to-back หากเกดความขดของระบบจะไมสามารถเชอมตอการทำางานของ เครองขาย rings สองวงนได

รปท 9.12 หากมความขดของของชองสญญาณการเชอมตอขอมลระหวาง ring สองวงนเกดขนระบบจะทำาการ drop-and-continue เลอกเสนทางใหมขนมรใชในการเชอมตอขอมลทำาใหไมเกดปญหา

9.3 ระบบการปองกน IP ในเครอขายIP Layer ถกพฒนาในการงานไดดทสด โดยมการเดนทาง

แบบ hob by ho ถาเครอขายลมเหลว intra domain ใน โปรโตคอล จะทำางานใน manner และ Update routing table ทภายใน domain ของแตละ router ในระหวางกระบวนการทำางาน packets continue จะเดนทางบน Current visions ของ routing table ท routers ซงเปนการขดแยงและไมเหมาะสม ดวยเหตน packets จะเดนผดทางและมปญหากบ loop ใน network ดงนนถาเปนไปได การสญหายหรอประสบกบความลาชาบนคำาสงของ Seconds หลงจากลมเหลวสามารถสบคนดงตวอยางท 9.13 ในตวอยางน พจารณา packet ใน router D เนองจาก link CD ลมเหลว Node C ควรจะเดนทางยง Route Packet ลวงหนา เพมให D ไปถง Router B โดยการ Hoping หาทางไปยง Router D อยางไรกตาม router B เปนทางทดทสดทจะไปส Router D

รปท 9.13 ตวอยางภาพเสนทางของเครอขายหลงจากเกดความลมเหลวของระบบ node จะทำาการเลอกเสนทางใหมจากตารางเสนทาง ในเวลาเดยวกนกอาจทำาใหเกด loop ขนไดในระบบ

การกคนจากความลมเหลวชาเนองจาก โดยพนฐาน ของ IP routing ทมการเดนทางแบบ Net-hop-bas ซงการกคนกลบมาโดยเรวนนขนอยกบเสนทางทบงคบใหเดน และรการทำางานในสวน

ของ Network ตามความสามารถทถกกำาหนดโดย Multi-โปรโตคอล Label Switching (MPLS) โดยท MPLS ยอมรบในสวน label-switched ทถกตดตงระหวาง Node Protection Scheme มผลทำาใหสวนของ MPLS สามารถถกอยท link layer ภายใต ในสวน IP Network สำาหรบตวอยาง Link Failure เราจะตดตง ทางเลอก LSPs ทงหมดโดยการใช Link และ Reroute packets ใน การ Setup ใหมของ LSPs ซงควรจะทำาบรเวณท Link Failure หรอสวนสดทายของ LSPs

การฟ นฟอยางชาๆจากความผดพลาดเปนการกำาหนดถงธรรมชาตเดมของ IP routing ความจรงนนมนเปนการกระจาย next-hop-based dynamic routing. การเตรยมเวลาในการฟ นฟทรวดเรวตองการบางหนทางเพอตดลงกบทาง และม packet ตดตามรเสนทางตลอดเครอขาย. นอาจเปนการจดหาโดย multi-protocol label switching (MPLS) MPLS ยอมให label-switched paths (LSPs)เพอเปนการตดตงระหวาง node. packet ทงหมดเปนสมาชกของ LSP กำาหนดเสนทางไปยงเสนทางทเหมอนกนนยอมรบหลายๆแผนการปองกนเพอเปนประโยชนภายใน MPLS layer. สำาหรบตวอยาง ขนกบการตรวจหาการเชอมโยงทผดพลาด เราสามารถตดตง LSPs สำารองสำาหรบทกๆ LSPs ในตอนนใชการเชอมตอนน และ กำาหนดเสนทางกลบของ packet บนการตดตง LSPs กอนหนาน. นสามารถทำาเฉพาะสวนเพอกำาหนดเสนทางรอบๆการเชอมตอทผดพลาด หรอมนสามารถทำาทจดสนสดของ LSPs ลกษณะของแผนการปองกนเชน 1+1, ring หรอ shared mesh สามารถเขาใกลการใชทเปนประโยชน และเปนการพฒนาในปจจบน

ลกษณะอนๆของการปองกนใน IP layer จะตองทำาการจบเวลา โดย IP layer เพอตรวจสอบความผดพลาดในสวนแรก. ในชนดเครองมอทใชใน intradomain routing

protocols ,router ทอยตดกนแลกเปลยน “hello” packet เปนระยะๆระหวางพวกมนเอง. ถา router ไมเหนจำานวนสมาชกของ packet เหลาน มนยนยนการเชอมตอเพอมขอผดพลาด และเรมตนกำาหนดเสนทางอก โดยอตโนมต router สง hello packet ทกๆ 10 วนาท และทำาการตดการเชอมตอถาพวกมนไมพบ 3 hello packet ตอเนองกน. ดงนน มนสามารถเรมทำาถง 30 วนาท เพอตรวจสอบความผดพลาด. กระบวนการสามารถเพมความเรวโดยการแลกเปลยน hello packet มากกวาเดมบอยๆ อยางไรกตาม ชวงเวลาทนอยทสดในตอนนทไดระบไวคอ 1 วนาท. แบบฉบบทมากกวา สวนสำาคญ router ตรวจหาขอผดพลาดในประมาณ 10 วนาท ทางเลอก ตงการจำาแนกของ packet สามารถแลกเปลยนเปนชวงๆสำาหรบจดประสงคน. อยางไรกตาม packet เหลานสามารถ รบเรยงลำาดบขนในบฟเฟอร ถาทนนม packet อนทรออยจำานวนมาก และดงนนจะตองเปนกระบวนการทสงกวาระดบปกตตามลำาดบ packet

ตวเลอกอนจะตองขนอยกบตำาแหนงตำากวา SONET หรอ optical layer เพอตรวจสอบความผดพลาดและรายงาน IP layer. นสามารถทำาโดยม line card อยภายใน router มองทการสรางและตรวจสอบความผดพลาดของการสงขอมลทเพมขนเขาไปส routing protocol. อยางไรกตาม นไมใชการสรรคสรางทปกตไปส วนนของ router9.4 WHY OPTICAL LAYER PROTECTIONOptical layer จดหา lightpaths สำาหรบใชโดย client layer ของมน ดงเชน SONET, IP, หรอ ATM layer เราไดเหนกลไกการปองกนทคลอบคลมนนมอยใน SONET layer และนนเปนบางระดบของการปองกนทเปนไปไดใน client layer อนๆ Layer เหลาน เปนการออกแบบทงหมดเพองานอสระของแตละอนๆ และไมอาศยกลไกการปองกนทมอยใน layer อนๆ เราจะเหนขางลางนน ท

นนตองการความแขงแกรงสำาหรบการปองกนของ optical layer จะอยางไรกตาม การคงอยของกลไกการปองกนใน client layer

กลมเครอขาย SONET/SDH มฟงชนครอบคลมการปองกน. อยางไรกตาม เครอขายอนๆดงเชน IP, ATM, และเครอขาย ESCON ไมทำาการจดหาระดบเดมของการปองกน. ดงทเราเหนในหวขอท 9.3 การจราจรของ IP สำาหรบสวนทมากทสดเปน ความพยายามทดทสดในการจราจร อยางไรกตาม ขณะทเครอขายผสงกลายเปนมากกวาศนยกลางผสง มการคาดการณวามการเพมขนของผสงทงสอง และเหลาลกขายของเครอขายเหลานจะตองการเพอจดหาระดบเดมของการหามาไดเชน SONET และ เครอขาย SDH

ทางเดยวสำาหรบทำาใหเปนจรง ความสามารถนคอเพอพฒนากลไกการปองกนเพมเตมภายใน IP, ATM, หรอ client layer อนๆ ดงทเราเหนในหวขอ 9.3 ทางอนเพอปกปองเครอขายขอมล คอเพออาศยบนการปองกนของ optical layer ซงสามารถเปนไดทงไมมประสทธภาพและมประสทธภาพ

รป 9.14 โครงสรางวงแหวน WDM ใชหลาย optical ในการเพม/ถอน

สงสำาคญในการลดความเสยหายสามารถสามารถทำาไดโดยใชการสรางสรรคของการปองกนของ optical layer แทนทของการปองกนของ client layer. เราไดแสดงใหนเหนกบ 2 ตวอยาง

พจารณาตวอยางของ เครอขายแบบ WDM ring กบ lightpath carrying higher-layer traffic. รปท 9.14 แสดงใหเหนตวอยางทไมเปนการปองกนของ optical layer 2 SOMET เสนสวนปลายเปนการเชอมตอซงกนและกนแมวา ตระเตรยม lightpaths โดย optical layer ขณะทเปน 2 IP router. สำาหรบความเรยบงายเรามองท unidirectional lightpath จาก LTE A ไปยง LTE B และ lightpath อนจาก

router C ไปยง router D 2 lightpath เหลานเปนการปองกนโดย SONET และ IP layer ตามลำาดบ การใช การปองกนแบบ 1+1 การทำาการเชอตอจาก LTE A ไปยง LTE B เปนทยอมรบบนความยาวคลน λ1 ไปยง shortest path ใน ring และการปองกนของการเชอมตออนๆทเปนทยอมรบ ยกตวอยาง บนความยาวคลน λ1 ทไมเปลยนแปลง รอบๆ ring. นอกจากนนการทำาการเชอมตอจาก router C ไปยง router D อาจจะเปนทยอมรบบน λ1 บน shortest path. อยางไรกตาม การปองกนการเชอมตอจาก router C ไปยง router D ซงตองการเพอเปน router รอบๆ ring ตองเปนการจดแบงความยาวคลนอน ยกตวอยาง λ2 ดงนน ความยาวคลนทงสองกำาหนดขนเพอรองรบโครงสรางน

รป 9.15 แสดงสงทไมสามารถไดมาโดยม optical layer ทำาการปองกนแทนท ตอนนเราสามารถตดแตละการปองกนแบบ 1+1 สำาหรบ SONET LTEs และ IP router และพวกมนสรางการแบงสวนการปองกนความยาวคลนรวนกนรอบๆ ring เฉพาะหนงความยาวคลน เปนความตองการเพอรองรบโครงสรางน หมายเหต นนเฉพาะการลดหนงการเชอมสามารถเปนการปฏบตโดยการจดการน ในทางตรงขามการจดการแรกเรมของรป 9.14 สามารถจดการบางสวน รวมกนของการลดหลายๆโครงสราง. นอกจากนนการจดการของรป 9.14 สามารถรองรบความผดพลาดของเครองสง 2 เครองพรอมกน ในทางตรงขาม การจดการของรป 9.15 สามารถรองรบเฉพาะความผดพลาดเดยว แตอยางไรกตาม ถาแรกเรมเราสนใจในการควบคมหนงความผดพลาดทบางเวลา รายการการปองกนของ optical layer ของรป 9.15 แสดงความชดเจนของการจดเกบในปรมาณสงสดทไดรบ

พจารณาอะไรกตามทจะเกดขนถาเราตองรองรบ N จบคกบแตละตวของพวกมนทอยตดกนบน ring ภายนอกการปองกนของ optical layer การปองกนความยาวคลนของ N จะเปนทตองการ

กบ การปองกนของ optical layer เฉพาะหนงความยาวคลน จะเปนทตองการการปองกนของ optical layer มประสทธภาพมากกวา เพราะวามนแบงทรพยากรการปองตลอดหลายคของ อปกรณ ของ client layer ในความแตกตาง กลไกการปองกนของ client layer ไมสามารถแบงทรพยากรการปองกนระหวางความแตกตางหรอ client อสระ

ตวอยางอนของ ปฏบตการเครอขาย IP เหนอการเชอมตอ WDM แสดงในรป 9.16 พจารณา ตวเลอกของ 2 โครงสรางของเครอขาย. รป 9.16 a แสดง IP router เชอมตอกนโดยความหลากหลายของสองการกำาหนดเสนทางเชอมตอ WDM ในกรณน ไมมการเตรยมการปองกนโดย optical layer และลดลกษณะสำาคญของการปองกน ขณะทความผดพลาดของอปกรณเปนความดแลทงหมดของ IP layer หมายเหต โครงสรางนนแสดงความตองการ 3 พอรทททำางานและ 3 พอรทททำาการปองกนบนแตละ router

รป 9.15 ประโยชนของการปองกนของ optical layer

รป 9.16 b แสดงทางทปรบปรงใหดขนของความสำาเรจของเครอขายกบความสามารถเดมโดยใชการสรางของการปองกนภายใน optical layer. ในกรณน fiber cuts เปนการควบคมโดย optical layer พนฐานการจดการ bridge-and-switch เปนการใชเพอเชอมตอ 2 คทสำาคญในการกำาหนดเสนทางทหลากหลายในระบบ WDM เดยว. ในทวๆไป มนมประสทธภาพมากกวาเพอควบคม fiber cuts โดย optical layer เนองจากเวลานนสวตชเดยวดแลในสวนของการซอมแซมชองสญญาณทงหมด แตละ IP link ดแลซอมแซมดวยตวมนเอง สงสำาคญกวาคอ การจดการนเปนผลใหสามารถประหยดคาใชจายในการใชอปกรณทมราคาแพง ในความตางกนกบโครงสรางแตกอน โครงสรางนตองการแตละ router เพอแทนทเฉพาะ หนงพอรทปองกนของ 3 ถาหนงพอรทท

ทำางานใน router มความผดพลาด router จะมงความสนใจทำาการจราจรไปยงพอรทปองกน.หมายเหต ประเภทของความผดพลาดนไมไดเปนการควบคมโดย optical layer

รป 9.16 ตวอยางแสดงประโยชนของการปองกนของ optical layer เทยบกบการปองกนท IP layer

ตวอยางนแสดงใหเหนคาอนของ ระบบปองกนของ optical layer. โดยทวไปความเสยหายของ router port มความสำาคญสงกวา ความเสยหายของแตละพอรทของอปกรณ optical layer. เพราะฉะนนมนถกกวาเพอสำารองแบนวธการปองกนใน optical layer คอนขางมการเพมพอรทใน IP router สำาหรบจดประสงคน

Optical layer สามารถควบคมดแลบางขอผดพลาดไดอยางมประสทธภาพกวา client layer เครอขาย WDM สงไดหลายความยาวคลนของการจราจรบน single fiber ภายนอกระบบปองกนของ optical layer, fiber cuts

เปนผลในแตละการไหลลนของจราจรเปนการซอมแซมดวยตวเองโดย client layer ในการเพม ระบบในการจดการเครอขายเปนการไหลไปพรอมกบจำานวนทใหญมากของสญญาณเตอน สำาหรบความผดพลาดอยางเดยวในทน ถา optical layer จะตองแกไขขอผดพลาด นอยกวาสงทมอยเพอเปนการกำาหนดเสนทางอกครง ดงนนนจงเปนกระบวนการทเรวกวาและงาย

ระบบปองกนของ optical layer สามารถใชเพอหาการเพมระดบของความยดหยนในเครอขาย สำาหรบตวอยางเพอปองกนขอผดพลาดตางๆ ตวอยางนแสดงในรปท 9.17 พจารณาการดำาเนนงานของ SONET BLSR บน lightpath เปนการตระเตรยมโดย optical layer รป 9.17 a แสดงการทำาดำาเนนงานแบบปกตของเครอขาย. รป 9.17 b แสดงผลลพธอะไรกตามทเปนตวอยางการเชอมตอ SONET ในเหตการณของความผดพลาดในการเชอมตอ. BLSR สราง ring switch และกำาหนดเสนทางกลบทางการเชอมตอรอบๆ ring ทจดน จนถงจดทแกไขขอผดพลาดในการเชอมตอ เครอขายไมสามารถควบคมขอผดพลาดทจดอนได การแกไขขอผดพลาดในการเชอมตอสามารถทำาไดหลายชวโมงจนถงวน ในชวงระยะเวลาทยาวนานพอสมควร ซงเครอขายจะไมมนคงจนถงความผดพลาดจะเพมขน ระบบปองกนของ optical layer สามารถเอาความไมมนคงนออกไปได ในรป 9.17 c optical layer กำาหนดเสนทางยอนกลบ ตรงจดเชอมตอทผดพลาดรอบๆความผดพลาดทมากกวาทาง optical อน. ทจดน ในทหางไกล BLSR เปนการเชอมตอ มนจะแสดงตวตนถาเปนการแกไขขอผดพลาดทจดเชอมตอและหลงจากกลบ ring เพอการทำางานทปกต นยอมรบ BLSR เพอควบคม

ขอผดพลาดทเพมขน ถงแมวาตามความเปนจรง เปนการแกไขขอผดพลาดทจดเชอมตอ

สดทายน การปองกนใน SONET เปนพนฐานปจจบนบน ring (UPSR/BLSR). ความตองการรายการพนฐานของ ring นนมปรมาณสงสดทไดรบในเครอขายทสำารองไวสำาหรบการปองกนททดเทยมกนเพอใชความสามารถสำาหรบงานทราฟฟก. ภายใน optical layer ชนดของแบบการปองกนของ mesh-based เปนการพฒนาขน. ขอเสนอเหลานยนยนความจำาเปนของความตองการความสามารถในการปองกนนอยกวาแบบ ring-based. เปนทยอมรบวาแบบแผนเหลานสามารถเปนเชนเดยวกบทประยกตไดใน SONET layer

อยางไรกตาม ระบบปองกนของ optical layer มขอจำากดของมนเอง:

ไมทงหมดของขอผดพลาดสามารถควบคมโดย optical layer. ถา laser ใน client ทตดกน สวนทายลมเหลว optical layer ไมสามารถทำาบางสงบางอยางเกยวกบมนได ดงนนเครองมอทมขอผดพลาดใน client ตองการเพอดำาเนนงานพรอมกนโดย client layer

Optical layer อาจจะไมมความสามารถเพอคนหาสภาวะทเหมาะสมซงมนจะเปนเหตผลทดเพอกอใหเกดการสบเปลยนการปองกน. ยกตวอยางสำาหรบเครอขายทเทยงตรงสามารถอยไดในทมอนเตอรเทานน หรอการไมมอยของพลงงาน. ถงแมวามนอาจจะเปนความสามารถในการตรวจวดคาการสญเสยของพลงงาน มนอาจจะไมรมากถงการประเมนคาความสำาคญสำาหรบระดบพลงงาน เพราะพวกมนขนอยกบการเปลยนแปลงทกวางมากบนชนดของสญญาณทสงไป. ดงนนมนสามารถสบเปลยนการปองกนเฉพาะตวนำาบนการตรวจหาความเสยหายของ light. อตราเรว bit

error เปนมากกวาตวบอกความแนนอนของคณภาพของสญญาณ แตทวาเครอขายทโปรงใสอาจจะไมสามารถวดอตราเรว bit error ได

ทราฟฟกระบบปองกนของ optical layer ในหนวยของ lightpath และมนไมสามารถปองกนสวนของทราฟฟกภายใน lightpath และไมปองกนสวนอนๆ เชนน ฟงกชนตองการเพอเปนการทำางานโดย client layer

การกำาหนดเสนทางการปองกนใน optical layer อาจจะยาวกวาการกำาหนดเสนทางในรปแบบเดม และทางเลอกของ การกำาหนดเสนทางแบบสลบ อาจจะจำากดความเขมงวดเพอพจารณางบประมาณในการเชอมตอ.

เราจำาเปนตองสนใจอยางระมดระวงถงการทำางานรวมกนของแบบการปองกนระหวาง layer ทแตกตาง. เราจะอภปรายบางสวนของประเดนเหลานในหวขอท 9.6

รป 9.17 การปองกนของ optical layer ใชเพอสงเสรมการปองกนของ SONET

9.4.1 การบรการของ classes based บนการปองกนหลายๆคลาสของการบรการสามารถเปนเงอนไขโดยพนฐานของ optical layer บนชนดของเงอนไขการปองกน ความแตกตางทสำาคญในคลาสเหลานทตงอยในระดบการของประโยชนเชอมตอทหามาและเวลาการฟ นฟสำาหรบการเชอมตอ. ความแตกตางของคลาสเหลานจะเหมาะสมทจะใชรองรบความแตกตางของแบบแผนการปองกน. ถงแมไมเปนมาตรฐานทเปนการกำาหนดในตอนน เราจดตงความเหมาะสมอยภายใตบรการ:

Platimum การจดหานเปนระดบสงทสดของการใชประโยชนและเรวทสดของเวลาในการฟ นฟ เปรยบเทยบไดกบการปองกนแบบ SONET/SDH ดวยทวไปประมาณ 60 ms สำาหรบตวอยาง การปองกนแบบ 1+1 สามารถใชเพอจดหาคลาสของบรการ คลาสนอาจจะเปนการมองเหมอนกบบรการทมประสทธภาพสงและเปนการกำาหนดราคาตามนน

Gold นเปนการจดเตรยมทใชประโยชนไดสงและเวลาทใชฟ นฟเรวมาก โดยทวไปอยในชวงหนงรอยของ milliseconds. สำาหรบตวอยาง การปองกบแบบ shared mesh สามารถจดหาคลาสนของการบรการ

Silver คลาสนตงอยตำากวา gold ในเทอมของการใชประโยชนและเวลาในการฟ นฟ สำาหรบตวอยาง แบบการปองกนทจดหานนเปนความพยายามทดทสด การฟ นฟอาจจะเหมาะสมกบหมวดน ตวอยางอนจะเปนแบบการเชอมตอ reattempted จากรองรอยกรณของความผดพลาด

Bronze ณ ทน optical layer ไมมการปองกนแบบ lightpath ในผลลพธของความผดพลาดของหนทางการทำางานคอการเชอมตอลมเหลว

Lead คลาสนของการบรการจะมการใชประโยชนนอยและไดรบความสนใจนอยทสดในจำานวนคลาสทงหมด สำาหรบตวอยาง เราอาจจะรองรบคลาสนโดยใชแบนวธการปองกนทสำารองไวสำาหรบคลาสอนของการบรการ ถาแบนวธนนเปนทตองการเพอปกปองทราฟฟกอนทไดรบความสนใจสงสด การเชอมตอในคลาสนเปนการจองไวกอน

นนเปนความยอดเยยมของการอภปรายในเรองประเภทของแอฟรเคชนจะใชการบรการของคลาสเหลาน และจะเพมจำานวนอยางรวดเรว. สำาหรบตวอยาง วนนผสงใช SONET/SDH เปนพนฐานภายใตเงอนไขการบรการประเภท Platimum เพอลกคาเหลาน

อยางไรกตามเราคาดหมายวาอำานาจทเพมขนของการจราจรของขอมลจะกระตนความตองการสำาหรบลดผลตอบแทนคลาสของการบรการ สำาหรบตวอยาง ผสงเชอมตออนเทอรเนตเราเตอรจากอนเทอรเนตของการบรการผจดหา เปนการจดหาในบางสวนของการบรการของ platimum และในการบรการของ bronze ในกรณหลง IP layer ควบคมฟงกชนการฟ นฟทงหมด. ในสถานะกอนหนาน มนเปนบางสวนของความเปนไปไดทงหมดของทราฟกนนสามารถสงไปเหนอ lightpath คณภาพทลดลงของการบรการ

9.5 แบบการปองกนของ optical layer เรามองถดไปทชนดความแตกตางของแบบการปองกนของ optical layer. สำาหรบสวนทมากทสดในกรอบความคด แบบแผนนคลายกบ SONET และ SDH ซงมคาเทากน. อยางไรกตาม การทำาใหเกดผลเปนความแตกตางทมสวนสำาคญสำาหรบหลายๆเหตผล: ความเสยหายของอปกรณสำาหรบพฒนาการเชอม WDM กบจำานวนของความยาวคลนเพอเปนการทวคณและการสนสด ความตองการจำากดการเชอมตอทมอยเพอเขาไปสบญช เมอการออกแบบแบบการปองกนและนนอาจจะเปนการจำากดการเปลยนแปลงความยาวคลนเพอสวนใหญ

Optical layer ประกอบดวย optical channel (OCH) layer (หรอ path layer), optical multiplex section (OMS) layer (หรอ line layer) และ optical transmission section (OTS) layer. ตอนนแบบการปองกนของ SONET เหมาะสมเชนเดยวกบ line layer หรอ path layer เชนเดยวกบแบบการปองกนของ optical layer เปนสวนหนงของ OCH หรอ OMS layer. แบบ OCH layer ซอมแซมหนง lightpath ทเวลา เนองจากวาแบบ OMS layer ซอมแซมกลมทงหมดของ lightpath บนการเชอมตอ และไมสามารถแบงแยกซอมแซมแตละ

สวนของ lightpath ได. ตาราง 9.3 แสดงการอธบายโดยสรปของแบบการดำาเนนงานใน OMS layer ตาราง 9.4 สรปแบบการดำาเนนงานใน OCH layer แบบแผนเหลานยงไมเปนมาตรฐาน และมสงทแตกตางกนอยมาก เราพยายามใชการตงชอนนใหสอดคลองกบศพทเฉพาะของ SDH

ใน SONET ทนนไมมความเสยหายทสำาคญ เกยวของกบการทำางานของแตละการเชอมตอใน path layer แทนกระบวนการเชอมตอเขาดวยกนทงหมดใน line layer เพราะกระบวนการททำาใชแอพพลเคชนทเฉพาะเจาะจงในการรวมขอบเขตเขาดวยกน ในทซงความเสยหายเพมขนของการดำาเนนงานของ path layer เปรยบเทยบกบ line layer ไมมความสำาคญ ในความแตกตาง ทนนสามารถเปนความสำาคญทตางกนในความเสยหายทเกยวของกบ OCH layer ไปถงความเกยวของกนกบ OMS layer OCH layer เปนการลดความหลากหลายของความยาวคลนทงหมด เนองจาก OMS layer ทำางานบนความยาวคลนทงหมดและดงนนจงมความตองการลดอปกรณลง

ตารางท 9.3 ขอสรปของการปฏบตแผนการปองกนใน OMS layer ทง DPRing และ SPRing ทเปนไปได

ตารางท 9.4 ขอสรปของการปฏบตแผนการปองกนใน Optical Channel Layer

จากตวอยาง พจารณาสองแผนการปองกนแสดงในรป 9.18. รป 9.18 a แสดงการปองกนของ 1+1 OMS ขณะทรป 9.18 b แสดงการปองกนของ 1+1 OCH OCH ตองการสองขวของ WDM และเพม splitter และ สวตช OCH บนการควบคมอนๆ ตองการสขวของ WDM และ splitter และสวตชแตละความยาวคลน ดงนนอปกรณมความเสยหายสงกวาความเสยหายของ OMS แทจรงแลวนเปนกรณถาทงหมดเปนชองทางสอสารเพอเปนการปองกน. อยางไรกตาม ความเสยหายของการปองกนของ OCH สามารถลดลงถาไมทงหมดของชองทางสอสารตองการเพอเปนการปองกน ตามทเขาใจหลายแงมม spitter และสวตชสามารถเปนการเพมบนพนฐาน ความยาวคลนโดยความยาวคลน ความเสยหายของกลมการปองกนของ OCH เกยวของกบจำานวนของชองทางสอสาร เพอเปนการปองกน ความเสยหายของแผนการปองกนของ OMS บนการควบคมอนๆ เปนความอสระของจำานวนของชองทางสอสารเพอเปนการปองกน ถาเฉพาะสวนเลกนอยของชองทางสอสารเปนการปองกน เวลานนการปองกนของ OCH ไมมความจำาเปนมากกวาแพงกวาการปองกนของ OMS

ตวเลอกของแผนการการปองกนเปนพนฐานการควบคมโดยการบรการของคลาส เพอเปนการรองรบและโดยชนดของเครองมอทเรยงกน. ในโลกของ SONET/SDH การปองกนเปนการทำางนแรกเรมโดย SONET/SDH line terminals (LTEs) และ add/drop multiplexers (ADMs) และปฏเสธโดย digital cossconnect นเปนกรณแรกเรมเพราะ digital cossconnect เปนมากกวาการไรประสทธภาพท การปฏบตหนาทการปองกนทเรวกวา LTEs และ ADMs บางสวนเพราะเหลานเปนปฏบตการบนสาขาทมความเรวตำา. อยางไรกตาม เราเหนการปองกนมฟงกชนการ

ควบคมทคอนขางแตกตางใน optical layer เครองมอทหลากหลาย ดงเชน optical line terminals และ ADMs สามารถจดเตรยมเหมอนกบ OCH layer และ OMS layer การปองกนในโครงสราง linear หรอ โครงสราง ring บน optical cossconnect สามารถ เตรยมการปองกนในโครงสราง linear, ring และ mesh. ความแตกตางทคลายกนของ digital cossconnect ในโลกของ SONET/SDH ,optical cossconnect เปนการออกแบบเพอเตรยมการปองกนทมประสทธภาพ. ขนอยกบบนชนดของ cossconnect การปองกนสามารถทำาเชนเดยวกนท optical channel layer หรอทระดบ STS-1 ดงนนหนงความเปนไปไดเพอใชพนฐานทไมมการ

รป 9.18 เปรยบเทยบแบบแผนการปองกนระหวาง (a) 1+1 OMS และ (b) 1+1 OCh

ปองกนระบบของ WDM point-to-point และอาศยบน optical cossconnect เพอปฏบตฟงกชนการ

ปองกน.Backbone network ควบคมจำานวนความกวางของความยาวคลน อาจจะเลอกสำาหรบตวเลอกน ขณะทบคคลทเปนผควบคมอาจจะมการจดเรยงทจำานวนมากของเครองมอทไมมการปองกนของ WDM ในเครอขายเหลาน ความเปนไปไดอนๆคออาศยบน WDM line terminal และ ADMs เพอปฏบตฟงกชนน Metropolitan network ใชจำานวนนอยของชองทางสอสารและไมตองการใชประโยชนจาก cossconnect อาจจะเลอกสำาหรบตวเลอกน

9.5.1 1+1 OMS Protectionนอาจเปนแผนการปองของ optical layer อยางงายและเปนการแสดงในรป 9.18a. ดวยเหตทเกยวกบความเรยบงายของมน มนเปนการทำาใหบรรลผลโดยหลายผจำาหนายใน OLTs เหลาน ประกอบดวยสญญาณ WDM ทเปนตวเชอมไปยงสองทางทมากมายการใช optical splitter ทจดสนสดอนๆ optical switch เปนการใชเพอคดเลอกพวกทดกวาสองสญญาณ พนฐานทดทสดบนการตรวจสอบการแสดงตวหรอการไมมตวตนของ light signal แยกการเกด 3 dB ทสญหายเพมขน และสบเปลยนเชนเดยวกบการเพมผลรวมเลกนอยของการสญหาย (<1dB) ทางเลอกททำาใหเกดผลใชการขยาย optical บนแตละลกษณะสำาคญ และไมมการรวมกนเพอรวมสองการควบคมเขาดวยกนทตวรบทบางเวลาหนงการขยายเปนการเปดใชและอนๆเปนการปด นเปนประโยชนของการหลกเลยงจดเดยวของขอผดพลาดในระบบ แตอาจจะเปนการแพงมากกวาเพอการบรรลผล

รป 9.19 การปองกนของ OMS-DPRing

9.5.2 1:1 OMS Protectionแผนงานนคลายกบแผนงาน SONET 1:1 อธบายไวในหวขอท 9.2.1 และมประโยชนคลายกน: รองรบสำาหรบ ทราฟฟก ทไดรบความสนใจนอยและสมรรถภาพเหมอนกนเพอมระบบเครอขาย N แบงสวนระบบการปองกนเดยว เปรยบเทยบกบแบบ 1+1 ของรป 9.18a ตวอยางการทำาใหเกดผลใชการสบเปลยนทเครองสง แทนท splitter ผลคอ ผลรวมของความเสยหายคอนขางลดลงในเสนทางขณะทตอนนใน SONET มคาเทากน โปรโตคอล APS ตองการเตรยมการผสานกนระหวางสองจดจบของการเชอมตอ

9.5.3 OMS-DPRingOMS-DPRing มความคลายกนกบ SONET UPSR นอกจากนนมนทำางานท OMS layer เนองดวย UPSR ทำางาน SONET path

layer. มนสามารถเปนเหมอนความคดของ optical unidirectional line switched ring (ULSR)

หนงความเปนไปไดททำาใหเกดผลของ OMS-DPRing แสดงในรปท 9.19 สงสญญาณเชอมตอเขาภายในและภายนอกของการเชอมตอดวยวธรปแบบ ring. แตละ node สอสารบนการควบคมทงคของ ring หมายเหต ความแตกตางของ node นนนาจะสอสารทความยาวคลนทตางกน; มฉะนนการสอสารเหลานจะชนกน ภายใตการทำางานทปกต ฟงกชนของ ring คลายกบรถประจำาทางกบหนงคของ การปดเครองขยายบน ring ทงหมดและการเปดอนๆทงหมดถานนเปนขอผดพลาดของการเชอมตอ ถดจากเครองขยายไปถงจดเชอมตอทผดพลาดเปนการปดและตวดงเดมทไมไดใชงานเปนการเปดในตอนนเพอฟ นฟการจราจร สำาหรบตวอยาง ในรปท 9.19a เครองขยายจบคจนถง ring ของ node A เปนการปดภายใตการทำางานทปกตและเครองขยายอนเปนการเปด ในรป 9.19b เมอมขอผดพลาดทการเชอมตอ CD เครองขยายจบค C ทอยตดกนจนถงจดเชอมตอทผดพลาดเปนการปด และเครองขยายดงเดมทไมไดใชงานท node A เปนการปดเพอสรางบสใหมและฟ นฟการจราจร

9.5.4 OMS-SPRingOMS-SPRing มความคลายคลงกบ SONET BLSR/4 กบการเปลยนแปลงบางอยาง ความเปนไปไดทจะทำาใหเกดผลของ four-fiber ring แสดงในรปท 9.20 สองของ fiber มเครองมอ WDM เรยงกนและยงอยสอง fiber รอบๆ ring ใชสำาหรบทำาหนาทปองกนและไมทำาตดกนกบเครองมอ WDM ในเหตการณของการตด สญญาณเปนเชนเดยวกบชวงเวลาสบเปลยนหรอสบเปลยน ring ไปยง fiber ททำาการปองกนดงทแสดงในรป 9.21 ในทงสองกรณ ไมมเครองมอ WDM บน fiber ททำาการปองกนไมเฉพาะการปองกนความเสยหาย แตเปนเชนเดยวกบการเตรยมการเปรยบเทยบหนทางความเสยหายทลดลงรอบๆ ring สำาหรบ ทราฟฟก ทม

การปองกน Optical amplifiers อาจจะมความตองการบน fiber ทมการปองกนอาศยบนจดเชอมตอทเสยหาย

เวอรชน two-fiber ของ OMS-SPRing สามารถทำาใหเปนจรงโดยการกำาหนดทศทางความยาวคลนครงหนงบนแตละ fiber สำาหรบหนาทในการปองกน โดยความแนนอนในการสรางความยาวคลนทมการปองกนบนหนง fiber ทมลกษะเดยวกนไปยงความยาวคลนททำางานบน fiber อนๆ สญญาณสามารถกำาหนดเสนทางอกครง ภายนอกความตองการเปลยนแปลงความยาวคลน อยางไรกตาม สองกลมของความยาวคลนเพอเปนการลดความหลากหลายและความหลายทแตละ node และดงนนจงเปนความไมแนนอนของการทำางานท OMS layer

รป 9.20 OMS-SPRing แสดงการทำางานทปกต

รป 9.21 OMS-SPRing หลงจากเกดขอผดพลาด (a) Span switch (b) Ring switch

บทท 10ระบบตอบสนองการบกรก : การสำารวจ

เหตการณหรอการเกด outages เนองมาจากโครงสรางพนฐานทจำาเปนของเทคโนโลยขาวสารในทกวนนเกดความลมเหลวจนเปนปญหาซงยงคงตองการการแกไข โครงสรางพนฐานทจำาเปนของเทคโนโลยขาวสารนเกดขนโดยการกระจายของระบบ middle ware เชน CORBA และ DCOM การกระจายของระบบ coordination-based เชน Publish-subscribe และ network protocols และยงไปกวานนคอการกระจายโครงสรางพนฐานทจำาเปนของ World Wide Web ระบบตางๆทถกกระจาย

ไปนถกสนบสนนโดยการประยกตใชใน ดาน Civilian ( พลเรอน ) และ Military ( การทหาร ) ทางดาน Civilian มการประยกตใชกนมากในโครงการใหญทมความเปนสวนตวมากๆ เชน ธรกจธนาคาร การคาขายทใชวธการ อเลกทรอนคส และ ระบบควบคมในโรงงาน ในขณะท โครงการชมชนหรอสวนรวมกเชน การควบคม air traffic , เครองจกรพลงงานนวเคลยร และปองกนโครงสรางพนฐานทสำาคญชองสวนรวมผานทางระบบ ( SCADA ) ในเรองคำาศพทเฉพาะเราจะใชในบททเปนการพจารณา ระบบการกระจาย ระบบเผยแพรเหมอนกบหลายๆบรการและบรการทมผลรวมกนพจารณาตวอยางระบบเผยแพรระบบการกระจายการคาทใชวธอเลกทรอนคส กบ threetier architecture แบบดงเดมของเวปเซฟเวอร แอพพลเคชน เซฟเวอรและเซฟเวอรฐานขอมล

ความสำาคญของระบบเซฟเวอรคอนำาไปสความสนใจในเรองของความปลอดภยและมนคง เชนระบบการปองกนและปองกนการบกรก ซงการปองกนแบบดงเดมไดมาโดยระบบ User authentication และ ใชสงของหรอบตรประจำาตว หรอกลไกการปองกนสทธทจะเขาถงได เชนการใชรหสผาน และสราง “protective shield” รอบๆระบบคอมพวเตอรซงเปนกลไกการปองกนโดยตวของมนเองซงเปนการพจารณาทไมดเพยงพอเพราะปราศจากคณสมบตทจำากด มนเปนไปไมไดทเราจะขดขวาง การสงหรอการแลกเปลยนจากระบบภายนอก

ระบบปองกนการบกรก ( IDSs ) เปนการคนหาปองกนคณสมบตของศตรโดยสงเกตจากระบบซงจะแสดงไวอยางชดเจน การปองกนเปนการทำารนไทม เมอมการบกรก ระบบปองกนการบกรก ( IDSs ) จำานวนมากถกพฒนาในดานงานวจยและผลตภณฑทางการคา ซงเปนวธการจดการพนฐานโดย วเคราะห signature ( ลายมอชอ ) ของแพคเกตทเขามาใหม และแตละคแขงกจะรรปแบบ

การบกรก ( misuse-base signature ) หรอรปแบบของพฤตกรรมระบบ( anomaly-base signature ) ทงสองระบบเมตรกนใชสำาหรบประเมนคา ระบบปองกนการบกรก ( IDSs )

อยางไรกตามยงมการพบการคดคานของบรการทนาเชอถอนเนองจาก ระบบทเผยแพรระบบปองกนการบกรกตองการทำาในภายหลงโดยทำาการตอบสนองซงจะเหมอนกบแบบฉบบเลย โดยพจารณาหลกของระบบผบรหาร system administrators คอ “patch” เปนระบบหนงทตอบสนองการปองกนการบกรก วธปฏบตแบบดงเดมของการตอบสนองชวงแรกๆของระบบผบรหาร ไดรบการตนตวมาจาก เมอมคนขอคำาแนะนำาบนทกและรนระบบตางๆคำาสงทอยบนเครองจกรกลทแตกตางกนนนประกอบดวยระบบทงหมดในความพยายามเพอตดสนใจถามการบกรกจะเกดการกระตนและทำาลายอะไรบางอยางโดยตวมนเอง ซงมความซบซอนมากแต ad hoc tools ระบบนนผบรหารจะทำาใหสำาเรจเพอมงสความชวยเหลอในกระบวนการสรป

ทกวนนกระบวนการนยงคงเปนวธทมลกษณะเดนเฉพาะตวอยางไรกตามระบบการกระจายหรอระบบทเผยแพรกลายเปนสงทยงใหญและกวางขวางมความซบซอนมากและมอยทกหนทกแหง จำานวนผใชเพมมากขน และ automated มความซบซอนมากขน

(IRSs) ออกแบบมาเพอตอบสนอง โดยรนไทมไปสการบกรกในกระบวนการเปาหมายของ IRS อาจจะเพอใหเกดการรวมของสงเหลาน ผลของการบกรกในปจจบนถาแบบจำาลองพนฐานมนมการบกรกหลายระดบจะมการกคนและใชเวลานานกวาทกำาหนดของ reconfiguration ของระบบทจะทำาในอนาคตใหมรปแบบทเหมอนกนและคดวานาจะประสบความสำาเรจ (IRSs) ในปจจบนพบเพยงแคสวนหนงเทานนความสำาคญโดยทวไปในการพฒนา IRS แบงเปน 4 ลกษณะเฉพาะคอ

1. การทำาการตดสนใจแบบสถต คอ IRS ระดบนให static mapping ของการตนตวจากการปองกนการตอบสนองไปจนถง deployed โดย IRS ประกอบดวย ตารางหรอรายการดแลพนฐานทผบรหารคาดหวงวาจะเปนไปไดทงหมดในระบบ และ การชแนะอยางชำานาญในแตละการตอบสนองในหลายๆตวอยางการตอบสนองกจะเหมอนกนบอยครงทมการตอบสนองกบผลทไดจาก anti-virus หรอพนฐานเครอขาย IDSs 2. การทำาการตดสนใจแบบไดนามกส ระดบน IRS จะเกยวกบการบกรกทมอยางตอเนองบนพนฐานของการตนตวใหมการสงเกตและกำาหนดคำาตอบหรอการตอบสนองทเหมาะสม

ขนท 1 ในกระบวนการทมเหตผลคอกำาหนดวาบรการไหนในระบบทเปนไปไดทมลกษณะเฉพาะตวของการปองกนและ network topology

ขนท 2 ตวเลอกทแทจรงของคำาตอบคอจะขนอยกบกลมของปจจยพนฐานหรอความชดเจนเกยวกบการบกรก

ขนท 3 คอกำาหนดประสทธภาพของ deployed เพอใหไดคำาตอบทนำาไปสการตดสนใจถาคำาตอบมมากขนคอความตองการสำาหรบการบกรกหรอการดดแปลงแกไขระบบการวดจากประสทธภาพของ deployed คำาตอบจะนำาไปสแนวทางการเลอกทดทสดในอนาคต

ใน IRSs ระบบนไมใชทงหมดทจะประกอบไปดวยทง 3 ขนตอน3. การระงบการบกรกทามกลางสำาเนาทหลากหลาย

ระดบน IRS จะใหคำาตอบอยางแนนอนทนำาไปสการบกรกโดยผลของคำาตอบนจะมระบบคอมพวเตอรทมการทำางานอยางตอเนองเปนกระบวนการทไมสามารถถกรบกวนได วธการพนฐานคอ การวาจางจดตงจำาลองเครองมอหรออปกรณในทกๆการใหบรการ สวนรปแบขอผดพลาดคอการจำาลองสงทไมนาจะเปนไปไดแลวนำาไปสการถก

บกรกไดงายดงนน ไมใชทงหมดทจะผกมดหรอจบการบกรกไดทกครงกระบวนการลงคะแนนบนผลผลตหรอระบบของการจำาลองสามารถทำาไดโดยการจำาลองรวบรดใหทำานอยกวาครงหนงของการประนประนอมขอดหรอประโยชนของวธการนคอเปนระบบทมการจดการอยางตอเนองโดยปราศจากการถกรบกวน4. การตอบสนองตอชนดของการโจมต ในระดบน IRS คอการทำาตามคำาสงทเฉพาะ โดยคำาตอบนำาไปสรปแบบทเฉพาะเจาะจงของการบกรก โดยทวไปสวนมากจะเปน (DDoS) วธการคอ การตดตามยอนหลงซงเปนการปดแหลงกำาเนดของการบกรกและจำากดจำานวนของแหลงหรอหนทางทจะสามารถตดตอกบเครอขายของศตร ซงลกษณะเฉพาะของวธการนคอ การรวมมอกนซงเปนความตองการจาก entities outside เปนระบบคอมพวเตอรทเรมมการปองกนสำาหรบกาตดตามยอนหลงซงมความถกตองแมนยำามากในหวขอนจะอธบายถง IRSs ชวงแรกๆซงมรายงานไวในบทความสำาคญหรองานวจยเฉพาะสาขานนๆ และทำาการจดเปนพวกของแตอนเอาไว 4 กลม

ตอไปจะพจารณาทเมตรกเพอใหประเมน IRS ทงสองระดบคอ เมตรกระดบตำาและเมตรกระดบสงมาใชพจารณาสำาหรบวตถประสงคในครงน เมตรกระดบตำาจะมกจกรรมภายใน IRS ทจำาเพาะเฉพาะเจาะจง เชน คณลกษณะทแอบแฝงอยใน deploying response และสวนนอยของเวลาทไดรบการตอบสนอง คอจะประสบผลสำาเรจในชวงทายหรอสนสดการบกรกโจมต อยางไรกตามเมตรกนตองการรวมการประยกตใชและวธการทมขอบเขตนำาเพาะเขาไวดวยกน เพอนำาไปสการประเมนผลการะทบของ IRS ระบบการกระจาย ( distributed system )ทมการปองกนไวในปจจบน สำาหรบตวอยางเมตรกระดบสงคอ คาทงหมดของการดำาเนนการทไมสมบรณในระบบ e-commerce

ระหวางการบกรกเมอ IRS คอ disployed จงมการกำาหนดหลกการพนฐานทางวทยาศาสตรสำาหรบเมตรกระดบสงในบทน

หวขอทเหลอของบทนจะถกรวบรวมไวในหวขอท 10.2-10.5 โดย IRSs นนเปนสวนหนงของแตละระดบอยางทเคยกลาวเอาไวแลวดานบน สวนหวขอท 10.6 จะกลาวถงการอธบายเมตรกทใชประเมน IRS และใชกบตวอยางของ ADEPTS IRS เพอประยกตใชปองกนระบบ distributed e-commerce สวนหวขอท 10.7 อธบายถงววฒนาการของงานดาน IRSs ทจะมในอนาคต

10.2 ระบบทำาการตดสนใจแบบสถต คำาจำากดความเฉพาะของ IRSs ระดบนคอ จะโตตอบการบกรก

โดยมความถกตองแมนยำากอนการ deployment และใชการตอบสนองโดยใหรายละเอยดปลกยอย และลกษณะภายนอกทสมบรณโดยทวไปจะเขาใจงายและ deploy และเปนงานด สำาหรบระบบในระดบใหญๆนนจะมการกำาหนดรปแบบของ workload และมรปแบบการโจมตหรอบกรกทสามารถนำาไดกอน อยางไรกตามมนจะไมมผลสำาหรบระบบไดนามกสกบการเปลยน workload รปแบบใหมของการจดตงบรการและการเขาโจมตไดงายกวาในครงใหม เนองจากมการเปลยนฮารดแวรและซอรฟแวร 10.2.1 Generic Authorization and Access Control-Application programming interface บทนำา

Generic Authorization and Access Control-Application programming interface หรอ ( GAA-API ) ถกพฒนาขนโดยสถาบน Information Science ซงเปน signature-based การปองกนการบกรกและระบบการตอบสนอง ( response system) นนกำาหนดใหการอนมตเปลยนแปลงไดในกลไกระดบทมการประยกตใชกบระบบคอมพวเตอร ความคดพนฐานคอ มนโยบายควบคมการเขาถงทงหมดกบการปองกนการบกรก

GAA-API สนบสนนนโยบายควบคมการเขาถงและอธบายเงอนไขโดย BNF-syntax language มนเปนเครองมอพนฐานทมความสมบรณกบการประยกตใชมากมายซงประกอบไปดวย Apache,SHH,SOCKS5 และ FreeS/NAN ( IPSec VPN) ซงจะทำาการรนบน LINYX และ Sun Solaris platformsรายละเอยด

GAA-API ทเพมขนกบความสามารถทจะควบคมการเขาถงเพอการประยกตใชในขณะททการใหโอกาสเพอจำาแนกระดบการประยกตใชและระบรปแบบทตางกนของเวลาทแทจรงในการตอบสนองตอการบกรก ( รปท 10.1 ) สวนประกอบหลกของ API คอ ภาษา Extended Access Control List ( EACL) กบการทำานโยบายใหเปนระบบสำาหรบ API เพอใชประเมน ตดสน และตอบแผนการทเปนไปไดของผบกรก แตละเรองในการประยกตใชมความเกยวของหรอสมพนธกบ EACL คอการเขาถงสทธ กบการจดตงเงอนไขทจำาเปนเพอความเสมอภาคกน เงอนไขสามารถรองขออยางเปนทางการไดโดยจะโอนหรอปฏเสธกได (precondition) ตดสนใจเมอคำารองขอการเขาถงนนมาถงควรควบคมอะไรทเขาถงการโอนได ( mid-condition) แลทำาอะไรเมอการเขาถงจบลง ( post-condition)

เงอนไขสำาหรบ API มผลตอ IDSs การแกไขกฎนโยบายทมอยและการกระตนการตอบสนอง ตวอยางความสมพนธกบ IDS คอ API

สามารถรายงานขอมลของผบกรกเชน การฝาฝนของเงอนไขเรมตน

และความตองการทจะเขาถงกบปจจยบางอยางทไมทำาตามนโยบาย

API รป 10.1 ปฏกรยาของแอพพลเคชนตลอด GAA-API เพอควบคม

นโยบายขนทแตกตางของปฏกรยาสามารถรองขอ IDS สำาหรบ network-based ขอมลผบกรก เชน spoofed addresses และ API สามารถขยายหรอแปรคำาตอบตามเงอนไขทตงไวลวงหนา อยางไรกตามยงไมเปนทแนชดวาจะใช ภาษารปแบบไหนหรอ protocol ทเคยใชสำาหรบ framework นนมการแลกเปลยนขาวสารกบ IDS

GAA-API แบงเปน 2 รปแบบ systemwide คอในการประยกตนนสวนไหนบางทสามารถนำาไปประยกตใชไดทงหมดกบทกคนและนโยบายเฉพาะทคอสวนไหนบางทสามารถเลอกไปใชไดกบเฉพาะบคคล นโยบายสดทายสำาหรบการประยกตสำาหรบทงสอง systemwide และนโยบายเฉพาะทขนอยกบสวนประกอบของรปแบบทถกเลอกซงม 3 ทางเลอก คอ การขยาย ใหเขาถงตวบคคลถาระดบใดระดบหนงหรอนโยบายเฉพาะทมนแคบลง เมอไดรบคำาสงกฎการเขาถงจะอธบายโดย systemwide ลบลางนโยบายทกๆกฎทตดสนดวยตวเองจะถก defined ทระดบนโยบายเฉพาะทและหยด

เมอนโยบายเฉพาะทถกละเลยถานโยบายของ systemwide ทยงคงอยนนมนมความตรงกนหรอคลายกน

คำาจำากดความและการดำาเนนการสำาหรบ GAA-API มความสมพนธกบระบบ administrators โดย administrators สามารถ framework รบขาวสารและมผลบงคบใชและเปนคำาตอบหรอการตอบสนองทมประสทธภาพ โดยการทำางานของ framework

จากการรายงานหนาทของ GAA-API พบวาเหนอกวา Apache web server 30% ซงทำาหนาทเรยกเมอการแจงอเมลไปยงผดำาเนนการไมสามารถทำางานไดและถาการแจงอเมลสามารถทำางานไดจะมความเหนอกวาเพมขนเปน 80%ความสำาคญ

ผแตง 22 แสดงใหเหนถงวธการทแพรหลายของการควบคมการเขาถงอยางเปนระเบยบซงรปแบบการประยกต Unix-based เปนทนยมทวไป นโยบายการเขาถงสมพนธกบกลไกการกษาความปลอดภยทสำาคญอนๆดวย เชน IDS และไฟรวอลลและเมอไมนานมานผแตงไดพฒนาแนวคดขนใน GAA-API กบปองกนทเปลยนแปลงและกลไกการตอบสนองใหมความนาเชอถอระหวาง 2 กลม โดยทวไปแลวลกคาและบรการและการสนบสนนสามารถใหการควบคมการเขาถงไดอยางรดกมและแนนหนา แตกยงมขอเสยอยคอมนมความซบซอนและมความหลากหลายยากตอการนำาไปใชในการควบคมหรอจดการกบสงแวดลอมทมขนาดใหญ 10.2.2 Snort inlineบทนำาSnort inline เปนรปแบบการทำางานของ snort เปน IDS โอเพนซอรสทไดรบความนยม การพฒนาในเรมแรกนนเปนแบบอสระ เปลยนแปลงได เวอรชนของ snort มนถกผสมผสานในเวอรชน

2.3.0 RC1 ของโครงการ snort เพอใหมความสามารถในการปองกนการบกรก ใชรวมกบซอฟแวร netfilter/IP table ทไดพฒนาจากโครงการทใกลคลายกน snort inline มการคนหาทชนแอพพลเคชนเลเยอรถงไฟรวอลลตารางไอพ มนสามารถตอบสนองตอการโจมตแบบรลไทมอยางรวดเรว ซงเปนประโยชนตอความออนแอของชนแอพพลเคชนเลเยอรรายละเอยด

การออกแบบ ADEPTS ไดตระหนกในการเตรยมวธการใหการบรการการตอบสนองการบกรกตอระบบการคาออนไลน ระบบการคาออนไลนเลยนแบบระบบรานหนงสอและ 2 ระบบสำารองสำาหรบโกดงและธนาคาร แผนงานตอสจรงถกใสเขาไปในระบบกนแผนงานใหเขาใจดวยวธลำาดบเปนขน ลำาดบอาจจะไมตรงและควบคมการไหล อยางเชน การพสจนขนตอนทตางกนถามอนหนงผดพลาด การตอบสนองของ ADEPTS สำาหรบการวงทแตกตางของแผนการโจมตกบความเรวทแตกตางของการแพรขาว ซงดงออกจากการซอนของการกระทำาการตอบสนองทถกใสในระบบเสนทางหลก กบจำานวนมากกวาของระยะทางตอการแกไขทดกวาการสนบสนนและงานทเพมเขามาADEPTS เสนอโครงขายงานทคมคาสำาหรบการใหเหตผลเกยวกบการตอบสนองตอการโจมตหลายขนตอนในระบบซงมความไมนยมและไมสมบรณของระบบทถกเผยแพรโลกของความจรง ระบบนใหอลกอรทมเบองตนสำาหรบการหาสาเหตของระบบทเสแสรง ซงเขาไปควบคมความตอบสนองและการประเมนผลของคำาตอบโดยการสงเกตสญญาณเตอนภยทเขามาในระบบ

อยางไรกตามคำาตอบใน ADEPTS สำาเรจในพนททเหมาะสมและในพนทปดตอทซงตวคนหาถกจบสญญาณเตอนภยเทานน ซงไมชดเจนท ADEPTS สามารถไปถงคำาตอบทดทสดตามหลกทฤษฎ

ยงกวานน ADEPTS จำาเปนตองพจารณาความเปลยนแปลงของแผนงานโจมตทถกสงเกตกอนหนานและแผนงานโจมตทผดคาด10.3.3 ALPHATECH ระบบปองกนอตโนมตขนาดเลกนคอการใชระบบปองกนอตโนมตโฮส-เบสบางสวนทสงเกตได Markov ตดสนใจดำาเนนการนน ถกพฒนาโดยบรษท ALPHATECH ซงตงแตไดรบมาจากระบบ BAE ระบบปองกนอตโนมตขนาดเลกของระบบ ALPHATECH เปนตนแบบ ADS ทถกสรางรอบตวควบคมเชงสมเฟน PO-MDP สงสำาคญคอผลกดนงานพฒนา วเคราะห และการประเมนผลเกยวกบประสบการณของตวควบคม ทระดบสง Armstrong et al. และ Kriedl และ Frazier ม 2 เปาหมายสำาหรบ ADS เหลานน โดยการเลอกคำาตอบIDS

โครงขายงานทงหมดนนเปนระบบทมตวควบคมการสะทอนกลบเชงเฟนเปนพนฐานบน PO-MDP โดยเอามาใสจากเซนเซอรตรวจความผดปกตเกยวกบการคาทยงใชประโยชนได (CylantSecure จากระบบซอฟแวรระหวางประเทศ, Cyland Division, http:www.cylant.com/) คำานวณความนาจะเปนไปไดนน ระบบอาจจะสถานะโจมต และกอใหเกดการกระตนใหมการตอบสนองตอการรบรการโจมต ระบบบางสวนสงเกตไดเพราะเซนเซอร (ตวคนหาการบกรก) สามารถใหสญญาณเตอนภยซงไมสมบรณ โดยทระบบสามารถควบคมไดบางสวนตงแตผลของการกระทำาของ ADS จะไมกำาหนดตายตวและนำาเอาระบบกลบสสถานะทเกยวกบหนาท

ผเขยนสรางสตร PO-MDP เพอกำาหนด χ∈ X ,bk ( χ )=P ( χ k= χ / I k )ซง I kหมายถง เซตของ k ตวแรกทไดรบการสงเกตและทกการควบคมถกเลอกรวมทง (k−1 )st สถานการณตดสนใจ Bk={bk ( x ): x∈X }เปนเซตของทกสถานะสวนตว ประมาณคาหลงจากการสงเกต k th เปาหมายเลอกวธทำาคำาตอบ μ ซงผลของ

ตวทถกเลอก μk=μ(Bk )(คลายกบฟงกชนของ Bk ) ตวเลอกของคำาตอบทเหมาะสมหาไดโดย

μ∗(Bk )=argminu∈U|∑x∈ X

a∗(u , x )bk( x )|

ซง α∗(u , x )สำาหรบ u∈U และ x∈ X เปนสดสวนตอคำาตอบ ใหสถานะปจจบน xk=x และการตดสนใจทเกดขน uk=u นนคอ α∗(u , x )เปนราคาทคาดเอาไวซงไดรบมาดวยวธการเลอกตวควบคมทเหมาะสมทสถานการณตดสนใจในอนาคต ใหสถานะปจจบน xk=x และการตดสนใจทเกดขน uk=u อยางไรกตามการตดสนใจเพอเลอกวธหาคำาตอบทเหมาะสมนน ฟงกชนราคาทหาคาไมไดนอยทสดทจดการไดยากและชวยใหแกปญหาจะตองตอบเพอหาวธทใกลเคยงเหมาะสม วธชวยแกปญหาคำาตอบของ Armstrong et al และ Kriedl และ Frazier โดยพจารณาขนแรกการรวมกนของสถานะปจจบนและการควบคม

สำาหรบการประเมนผล ผเขยนสรางรปแบบสภาพ Markov สำาหรบการโจมตของหนอนบนโฮส ตนแบบ ADS รบมาจากการสงเกตจาก 2 เซนเซอรคนหาการบกรก เซนเซอรคนหาการบกรกตวแรกดแลกจกรรมบนไอพพอรทและเซนเซอรตวอน ๆ ดแลกระบวนการทำางานบนคอมพวเตอรโฮส นคอ 2 เซนเซอรแสดงการวดการกระทำาเกยวของนน โดยกำาหนดตวแทนของการใชระบบคอมพวเตอรอยางเปนแบบฉบบอยางไรสำาหรบการทดสอบ การฝกขอมลเปนการรวมกนของการสมเฟน http และ ftp เพมทางเขาโดยการซมการตพมพของคำาสงนน เปนการใชธรรมดาโดยผควบคมของลนกซ การทดลองครงท 1 พสจนวา ADS ถกสรางบนตวควบคมการตอบรบเปนทใกลเคยงตอคำาตอบซงไมเหมาะสมตอการกระทำาทระบบไดรบอำานาจกวาผควบคมทไมเคลอนไหว (กลาวคอ มความรสกไวนอยมากตอเสยงจากระบบการคนหา) และ ดงนน สามารถใชตวคนหาความผดปกตท

ไวตอความรสกอยางมประสทธภาพกวาตวควบคมซงไมเคลอนไหว การทดลองลำาดบท 2 พสจนความสามารถตอคำาตอบตอการโจมตไมรบรกอน αLADS ถกฝกหดมาแลวกบหนอนโจมตบนเซฟเวอร ftp และสามารถขดขวางหนอนทคลายกนโจมตตอสงทตงชอไวและเซฟเวอร rpcd เหตผลทนาประหลาดใจคอ αLADS สามารถขดขวางการโจมตทมองไมเหนกอนเดยวทกแบบ เพอใหเขาใจผลลพธ สวนของขอมลทสำาคญมากคอระดบของความเหมอนระหวางหนอนทตางกน ซงไมสามารถใชประโยชนไดในหนงสอทถกตพมพสงทใหมาและงานทนาสนบสนนงานซงมความหมายในนน การใชเทคโนโลยการสรางแบบจำาลองทเปนทางการ(กลาวคอ PO-MDP) ในการตอบสนองตอการบกรก การออกแบบอยางเขมงวดและระหวางเทคนคการสรางแบบจำาลองกระตนการกำาหนดการสงผานเมทรกซทถกตองจากการฝกขอมลทเหมาะสม การกระตนนไมเปนหนงเดยวกบระบบ αLADS ซงถกคาดวางานจะเสรจสมบรณและใชเทคนคทเคยผานมาสำาหรบการสรางหลายๆเมทรกซทใชประโยชนไดในสงตพมพทเกยวของกน

มอะไรในชวงเวลาสนๆในงานน คอการพฒนาของความตอบสนองทเกดขนในขณะนนจะเปนไดผลดในสงแวดลอมทถกเผยแพร โดยแทจรงแลวการทดลองเหลานนใชความสามารถเพอฆากระบวนการหรอปดคอมพวเตอร(โดยไมพจารณาจากการสงเกตหรอการแจงตอมนษย) ระบบสามารถทำาการจดระบบตามลำาดบและกระจายระบบซงสามารถตอบสนองตอการโจมตในสวนทแตกตางของโครงสรางพนฐานทเผยแพร10.3.4 การควบคมความปลอดภยรวมและปรบตวได, ระบบตอบสนองการบกรก Agent-basedทง 2 ระบบมาจากกลมวจยเดยวกนกบผควบคมความปลอดภยรวม เมอปกอน ระบบตอบสนองการบกรก agent-based ซงปรบไดในลำาดบเวลา CSM ถกออกแบบใหสามารถใชเปนเครองมอคนหาการ

บกรกในสภาพแวดลอมเครอขายทมขนาดใหญ CSM ยอมรบวตถประสงคในการควบคมการคนหาการบกรกสวนบคคลสามารถทำางานในรปแบบรวมได โดยปราศจากการขนอยกบผจดการทศนยกลางกระทำาตอเครอขายการคนหาการบกรก เนนเรองบทบาทของสวนประกอบแตละสวนในการจดการการบกรก ไมตองควบคมสงเหลานน เทอมถกใชเปนผบรหารความปลอดภย CSM ใชผจดการทไมใชศนยกลาง แทนแตละสวนของผบรหารยอมรบบทบาทนสำาหรบผใชทเปนเจาของ เมอนน ผบรหารสงสยการกระทำาทนาสงสย แตละ CSM รายงานทกการกระทำาทสำาคญตอ CSM สำาหรบโฮสจากทซงการเชอมตอเรมขน CSM ตดตามผใชเปนเขาหรอเธอยายจากโฮสนไปโฮสอนๆ ในสภาพแวดลอมทเผยแพร

ถาผบกรกถกสงสยหรอถกคนหา จะถกเปลยนเปนสวนประกอบ intruder - handling (IH) ซงกำาหนดการกระทำาเพอใช นคอทซงความสามารถตอบสนองการบกรกฝงใน CSM หนาทของเกณฑในการวดคอใหการจดสรรการกระทำาเมอการกระทำาทกาวกายถกคนพบ การทำางานของกจกรรมโดยเฉพาะในการตอบสนองตอการใชทางทผดจะขนอยกบการรบรความรนแรงของการคนหาของการใชงานในทางทผด การแจงเบองตนของผบรหารระบบบนระบบคนหาจะยงคงเปนขนแรก ขนทสองคอบอกทก CSMs อนๆในรองรอยของผใช ขอมลนไดรบจาก เกณฑในการวดรองรอยผใช หลายการกระทำาอนอาจจะคดวาเหมาะสม 2 การกระทำาจะฆากลมปจจบนของการบกรกทนาสงสยและควบคมบญชนน เปนการเคยไดรบทางเขา ผบกรกไมสามารถยอนกลบมาอยางงายๆ อยางไรกตาม พวกเขามความสำาเรจกบการดแลเทานน เมอหลกฐานหนาแนนและการขดขวาง เนองจากขาดการตอบสนองของเซฟเวอร

ในภายหลงงานมาจากกลมทเหมอนกนคอ AAIRS ใน AAIRS IDSs หลายอยางควบคมระบบคอมพวเตอรและสญญาณเตอนภยการบกรกทสรางขน พนทรวมของผกระทำาไดรบจากการเตอนภยและ

ใชรปแบบทสรางขนของการเตอนภยผดซำาและการเตอนภยผดพลาดจากตวคนหาทสรางเมตรกการโจมตทเชอใจได ผกระทำาจะสงเมตรกนไปกบรายงานการบกรกตอผกระทำาทเชยวชาญการวเคราะห ผกระทำาทเชยวชาญการวเคราะหจดกลมทงสองเหตการณทเกดอยางตอเนองของเหตการณทยงอยหรอเปนการโจมตใหมทใชพารามเตอรหลายๆแบบทแตกตางกน อยางเชน แอพพลเคชนเปาหมายและพอรตเปาหมาย อลกอรทมการตดสนใจสำาหรบการกำาหนด ถาสญญาณเตอนภยเหมอนกนกบการโจมตทมาใหมหรอการโจมตยงอยไดรบเอามาโดยระบบอน อยางเชน ADEPTS

ถาผกระทำาทเชยวชาญการวเคราะหกำาหนด นคอการโจมตใหม เขาจะสรางผกระทำาการวเคราะหใหมสำาหรบควบคมการโจมตนน ผกระทำาการวเคราะหจะวเคราะหเหตการณและสรางแนวทางทางทฤษฎของการกระทำาเพอแยกแยะเหตการณ การใชผกระทำาทใชเทคนคเกยวกบการแบงประเภทคำาตอบจาก Hiltunen et al.จดกลมการโจมตและกำาหนดเปาหมายคำาตอบ ผกระทำาการวเคราะหจะสงผานแนวทางทไดเลอกของการกระทำาใหตอผกระทำากลวธ ซงแยกประเภทแนวทางทางทฤษฎของของการกระทำาเขาไปในการกระทำาทเจาะจงมากและหลงจากนนกอใหเกดสวนประกอบทเหมาะสมของคำาตอบทลคต

วธการทไดเสนอใหคำาตอบเกยวกบการปรบตวดวยวธการ 3 สวนประกอบ คอ พนทรวม, การวเคราะห, และผกระทำากลวธ ผกระทำาพนทรวมปรบโดยการเปลยนแปลงเมตรกทเชอถอไดทเชอมโยงกบ IDS แตละอน เนองจากการวเคราะหสวนประกอบไดรบรายงานเหตการณทเพมเขามา รายงานเหลานอาจจะทำาการแบงประเภทใหมของชนดของผโจมตหรอชนดของการโจมต การแบงประเภทใหมนอาจจะกอใหเกดการกำาหนดแบบแผนใหมหรอเปลยนเปาหมายคำาตอบเพอใหทำาไดสำาเรจ การวเคราะหสวนประกอบ

อาจจะเปลยนขนวางแผนเพอใหตรงตามเปาหมาย ถาขนตอนทางเลอกยงมอยและเหมาะสมสำาหรบเพมเขาไปในแบบแผน สวนประกอบกลวธอาจจะมหลายเทคนคสำาหรบการอมพลเมนทขนตอนการวางแผนและเหมาะสมโดยการเลอกขนตอนทางเลอก สวนประกอบเหลานรกษาเมตรกสำาเรจบนแบบแผนนนและการกระทำาตามลำาดบ และเพมนำาหนกความสำาเรจอก และดเหมาะสมมากทจะเอาใสในเหตการณภายหลงกรณของการโจมต

งานใหขอบขายงานทดบนทซง IRS สามารถสราง อยางไรกตาม ไมสามารถใหเทคนคบางสวนของระดบระบบและอลกอรทมนน จะตองการสำาหรบ AAIRS เพอทำางานในวธปฏบต บางสวนจะไมยอมตอบคำาถาม ความสำาคญสวนใหญคอ อลกอรทมกำาหนดลำาดบของการทำาคำาตอบตอเหตการณอยางไร ระบบวดความสำาเรจกอนคำาตอบทเกดขนอยางไร หรอหลายการโจมตทเกดขนพรอมกนจะดแลอยางไรสงทใหมาและงานทเพมเขามาจดเดนของ CSM การแลกเปลยนของสามารถทำาในระบบคำาตอบซงอยไดดวยตวเอง เกณฑในการวดสำาหรบการตดตามผใชและสถาปตยกรรมสำาหรบการคนหาเผยแพรซงมคณคาใน IRS สำาหรบระบบทเผยแพร อยางไรกตาม งานจะขาดแคลนในรายละเอยดระดบระบบและการตดสนใจออกแบบทแทจรงทำาสำาหรบสภาพแวดลอมแอพพลเคชนโดยเฉพาะ การประเมนผลไมสามารถกำาจดแสงบางสวนบนสวนประกอบ IH ของระบบ

AAIRS เสนอสงกระตนความสนใจสถาปตยกรรมกบเกณฑการวดทแตกตาง เปนการแตง IRS เกณฑการวดท 2 ระดบพนฐานของนามธรรม คอ ระบบแอพพลเคชนทเปนกลางและระบบแอพพลเคชนเฉพาะ ระดบเหลานมความสำาคญตอ IRS อยางกวางขวางตอแอพพลเคชนใหม AAIRS ยกระดบความสำาคญของความสมพนธสำาหรบ IRS

บางสวน คอ ขอบกพรองของ IDS บางสวนทงสำาหรบสญญาณเตอนภยเทจและสญญาณเตอนภยผดพลาดจะตองรายงานตอ IRS และจะตองตอบรบเกยวกบความสำาเรจหรอลมเหลวของคำาตอบทเปลยนไป อยางไรกตาม งานจะขาดแคลนในแลกอรทมเฉพาะสำาหรบบางสวนของขนตอนของ IRS ไมมรายละเอยดระดบระบบใหและนคอเปนชวงอนตรายโดยเฉพาะสำาหรบ IRS ตงแตการแลกเปลยนของสวนใหญในอลกอรทมถกนำาออกโดยการอมพลเมนทจรงและการปรบเปลยน การอธบายระบบแสดงระบบทมความสามารถ ผบรหารอาจยงคงตองการใหเกดวง (ตวอยาง ในการกำาหนดปกตถามสญญาณเตอนภยจาก IDS จะมสงผดพลาดอยหนงสง)10.3.5 EMERALDออกแบบสงทคลายกนผลการควบคมคำาตอบทำาใหเปนไปไดตอการรบกวนทตางไปจากปกต (EMERALD) พฒนาสถาปตยกรรมนนสบตอมาจากเทคนคเกยวกบการวเคราะหการพฒนาใหดยงขนสำาหรบการคนหาการบกรกและจบสงทบกรกเขามาในขอบขายงานนน เปนการนำามาใชใหมอยางมาก การกระทำารวมกนและสามารถวดไดในโครงสรางเครอขายพนฐานขนาดใหญ เปาหมายแรกคอไมทำาคำาตอบการบกรกอตโนมต อยางไรกตาม โครงสรางตางและเครองมอสามารถทำากลไกคำาตอบไดผลด

เอกลกษณทสำาคญทสดภายใน EMERALD คอการดแลกบการเปลยนหลายๆการดแลภายในอาณาเขตการบรหารแตละสวน การดแลอาจมผลกบสภาพแวดลอมอยางเฉอยๆ (อานบนทกการกระทำาหรอแพคเกตเครอขาย) หรออยางกระฉบกระแฉง (โดยวธการตรวจสอบเหตการณการจบกลมปกต) การดแลอาจมผลกนอยางอน การดแล EMERALD มกำาหนดพนทรวมทดสำาหรบการสงและการรบขอมลเหตการณและวเคราะหเหตผลจากบรการความปลอดภย third-party การดแล EMERALD สามารถทำาทงวเคราะหสญญาณและคำานวณสถตการคนหาพนฐานโปรไฟลทผดปกตบนเปา

หมายเหตการณ งานในสวนของการนำาเสนอการพฒนาขนสงในการแตงหนงสอการคนหาการบกรก ในสวนเพมเตม การดแลแตละสวนประกอบดวยผตดสนใจ EMERALD อปกรณทสามารถตดสนใจโตตอบของการรวมเขาดวยกนกบสญญาณเตอนภยจากของมนเองเชอมโยงอปกรณวเคราะหและการกอใหเกดผจดการคำาตอบเพอตอบโตการกระทำาทเปนอนตราย

ลกษณะหนาตานนทำา EMERALD ดเหมาะกบการตอบสนองตอการบกรกในสภาพแวดลอมทเผยแพรเปนความสามารถสำาหรบการรวมสญญาณเตอนภย นคอการบรรลผานเปนชน การจดการควบคมและการแลกเปลยนของ CIDF-based สญญาณเตอนภยขอมล ดงนน ผจดการสามารถรองขอและรบรายงานการบกรกจากผจดการคนอนทเลเยอรทตำาทสดของการวเคราะหตามลำาดบ ความสามารถควบคมและตอบสนองตอการกระทำาทเปนอนตรายโดยรวม ผจดการแตละคนมสามารถของการโตตอบแบบรลไทมในการตอบสนองตอรายงานการกระทำาทเปนอนตรายหรอการกระทำาทตางไปจากปกต สรางโดยอปกรณวเคราะห การกระทำาตอบโตถกกำาหนดในฟลดเฉพาะตอทรพยากรวตถทเหมอนกนเพอทรพยากรในทซงการควบคมถกปรบเปลยน ประกอบกบแตละวธการตอบสนองทมเหตผลเปนการประเมนผลเมตรกสำาหรบการกำาหนดสภาวะแวดลอมภายใตวธการทนาจะสงของ เกณฑเหลานเปนความเชอใจของอปกรณวเคราะหนน การโจมตเปนจรงและความรนแรงของการโจมต ผจดการรวมเมตรกเพอกำาหนดวธการควบคมการตอบสนองสงทใหมาและงานทเพมเขามา

บทเรยนสำาคญจากการออกแบบ EMERALD คอ การแบงแยกของการสรางและสวนทเปนเปาหมายเฉพาะของระบบ เปาหมายเฉพาะ กลาวถง บรการ (FTP, SSH) และทรพยากรฮารดแวร (เราเตอร) นน EMERALD จดไดอยางเหมาะสม วธการออกแบบนทำาใหเขาใจ การนำาสวนตางๆกลบมาใชใหมและการขยายออกและเพมการ

ผสมกนกบทรพยากรอนๆ วเคราะหอปกรณ และความสามารถในการตอบสนอง พวกเราเหนความเปนไปไดทดใน EMERALD ในการสรางคำาตอบอตโนมตในการตดสนใจ พวกเราไมสามารถหารปแบบของการตดสนใจหรอแอพพลเคชนของ EMERALD ททความซบซอนได โครงสรางพนฐานใช EMERALD รวมกน การจดการควของเหตการณ บรการรายงานความผดพลาด การบรหารแหลงเหบขอมลสำารอง(แหลงเกบขอมลหลกสำาหรบสวนสถต) และองคประกอบการควบคมภายใน สวนสถตและ P-BEST (กลไกการผลตระบบพนฐานทยอดเยยม) รวมกนเปนแหลงเกบขอมลและใหการตดสนใจคนหาการบกรกอยางเตมท EMERALD API นาจะเปนไปไดทจะนำาไปสรางเปนอปกรณคนหาการบกรก อยางไรกตามนไมใชรายงานในโครงการ10.3.6 ระบบตอบสนองการบกรกแบบไดนามกสอนๆ

มระบบอนๆบางระบบจดการทำาการตดสนใจแบบไดนามกสของการตอบสนองการบกรก ในความสนใจของชองวาง พวกเราจะจำากดการอภปรายของระบบเหลานตอการสนบสนนทสำาคญเหลานน

1.ใน Toth และ Kruegel[10] ผแตงเสนอแบบจำาลองเครอขายเพอให IRS ประเมนคาของการตอบสนองบนเครอขายตรงนนยงคงมการพงพากนระหวางเอนตต ในระบบแตละระบบจะเปนการพงพาโดยตรง (ผใช A พงพาบรการ DNS) หรอการพงพาโดยออมนนตองการความพอใจจากการพงพาโดยตรง (ถาบรการ DNS อยตางซบเนต จากนนไฟรวอลลจจะตองอนญาตซบเนตนน) เอนตตอาจจะกลายเปนไมมคาในแตละซบเนต เพราะไมมทอยในโทโปโลยเครอขาย กฎไฟรวอลลไมอนญาตใหดำาเนนการ การพงพาโดยออมถกกำาหนดอตโนมตโดยการวเคราะหโทโปโลยเครอขาย (ซงเปนการเขารหสในเราตงเทเบล) คลายกฎไฟรวอลล การพงพาแสดงใหเหนถงการใชโครงสราง AND-OR และระดบของการพงพาแสดงใหเหนโดยตวเลขระหวาง 0 และ 1 ประสทธภาพของเอนตตเปนสวนหนง

ของหนาทของเอนตต เพราะวาสามารถใชงานไดภายใตวธการหาคำาตอบทมอย (ตวเลขระหวาง 0 และ 1) ประสทธภาพคำานวณไดจากโครงสรางการพงพา คาปรบถกกำาหนดสำาหรบเอนตตแตละอนทใชการไมได ราคาคาปรบเครอขายของเอนตต คอ ประสทธภาพคณคาปรบ แตละระดบทระบบไดคำาตอบ เพราะวาทำาใหคาปรบนอยลงทสด นคออลกอรทมทเหนแกตวและไมกอใหเกดคาทดทสด

2.ความปลอดภยทมความวองไวคอเทคนคททำาใหซอฟแวรปรบตวไดเพราะวายดหนาทของสวนซอฟแวรออกไปจดใหเขากบคณสมบตความปลอดภยแบบไดนามกสของสงแวดลอมเหลานน ดงนน เมอระบบควบคมการเขาออกถกทำาใหหนาแนนในสภาวะแวดลอม ซอฟแวรจะไมลมเหลว ทลคตความปลอดภยทมความวองไวใหความหมายวาผสานความสามารถในการหาคำาตอบทมประสบการณมาก(มากกวาการฆากระบวนการทรบกวนอยางงายๆ) เขาไปในกระบวนการใหเขาใจความยดหยนของระบบทตอตานการบกรก ทจดสำาคญ การหาคำาตอบเปนการเปลยนกฎควบคมการเขาออกกบการกระตนเกณฑโดยเฉพาะ การสนบสนนทสำาคญของงานนคอหลกการเทคนคการรคอนฟกทรนไทม การสนบสนนรองลงมาคอ การรคอนฟกความสามารถเหมอนสวนของคำาตอบโดยทวไป การทำาการตดสนใจขนพนฐานแบบไดนามกส IRSs คอเทคโนโลยทมความหวงเพราะวายงคงอยในขนตอนเรมตน มความนากลวของการจดการของสงเหลานนในระบบผลผลตในโลกของความจรง ทนอยทสดคอรายงานในการเปดการแตงหนงสอ สวนหนงของเหตผลคอ มการตพมพจำานวนมากเพราะวาตองการแกปญหากอนสรปการออกแบบกฎทจะนำามาเสนอ ตวอยาง สงทตางกนทามกลางระบบในโลกของความจรงจะมอปสรรคสำาหรบการสรางแบบจำาลอง ผลกระทบบนระบบจากเหตการณและคำาตอบ ในทางทฤษฎ IRS ใชเวลาในการแกปญหารปภาพนานมากเพราะบรการทอยในระบบ หนาทเหลานนคออะไร ปฏกรยาทามกลางพวกเขาคออะไร

และผลทเกดขนของความตอบสนองบนระบบคออะไร แตละคำาถามเปนหวขอทกำาลงวจยอยในสถานททแตกตางกน ดงนน การจดการระบบ ภายหลงมหลากหลายคณสมบตในกระบวนการการการทำาการตดสนใจคำาตอบเพราะวาตองสรางแบบจำาลองและวเคราะห อยางเชน ความเหมาะสมของคำาตอบ มความนาตกใจเลกๆเกดขนในเสนทางของการเปรยบเทยบเทคนคทแตกตางของการประเมนคากบการเอาใจใสอยางอนและกบการเอาใจใสโครงการทไมมทต พวกเราเชอวานคอสวนทตนเตนของการพฒนาในเทคโนโลย IRS และพวกเราหวงใหเหนความพยายามในการวจยทคมคาตอการพยายามในปทกำาลงจะมาถง10.4 การอดทนตอการบกรกดวยวธสำาเนาหลายอยางการใชสำาเนาหลายอยางใน IRS ดวยการยมความคดจากสวนของการอดทนตอความผดพลาดและจากการสงเกตระบบชวภาพ การโจมตเจาะจงไปทความออนแอในระบบไมสามารถสงผลตอระบบอนๆ เพราะวาขาดความออนแอ สงทเชอมตอกนกบความซบซอน ผลของการโจมตทำาใหปดบง การจดสรรระบบใหบรการตอเนองในการประพฤตตวขดขวาง ความคลายกนเบองตนใชกลมความแตกตางของสำาเนาสำาหรบการใหบรการ อยางเชนการใหหนาทคลายกนระดบสงกบเอาใจใสตอบรการอนๆ แตการออกแบบภายในและการอมพลเมนตนนแตกตาง เทคนคการปดขอผดพลาดใชความคลายกนของวธการในความอดทนตอความผดพลาดทวไป อยางเชน การลงความเหนและขอตกลงโปรโตคอล การใชสำาเนาหลากหลายนนดงดด เพราะสามารถปรบปรงพสจนไดตามทฤษฎตอการเอาตวรอดหรอความปลอดภยของระบบทไดรบ หากนำาไปเปรยบเทยบกบเทคนคอนนน เหมาะสมกวาการชวยคนหาทแบงเปนประเภท เทคนคการประเมนจากพนทเจรญเตบโตของความอดทนตอความผดพลาดทวไปทำาใหเหมาะกบระดบของ IRSs อยางไมลงเล

สมมตฐานเบองตนคอการยอมรบ โดยสวนมากชนสวนของเซฟเวอรในเครอขายอาจจะผดพลาด สมมตฐานนถกทำาใหนาเชอถอมากขนดวยวธการใชความคลองแคลวและการฟ นตวเปนชวงเวลา สมมตฐานทวไปอนๆนนผดพลาดในระบบทเปนอสระ ซงมการกระตนการใชความหลากหลาย การเสนอขอพสจนนตอความไมมนคง สภาพสมมตฐานไมมนคงตอการบรการระบบและแอพพลเคชนปญหาการวจยโดยทวไป2 ปญหาหลกทเกดขนคอ แนะนำาความหลาหลายเขาสในระบบอยางไรและปรบปรงระบบใหคงอยและความปลอดภยของระบบใหซบซอนสำาเรจไดอยางไร ปญหาแรก ผสรางระบบสวนมากปดการแนะนำาความหลากหลายดวยมอ อยางเชน การตดตงระบบปฏบตการและแอพพลเคชนทแตกตาง การทำาใหเปนขนตอนมากยงขน เวอรชนทแตกตางของแอพพลเคชนถกใชดวยเชนกน การแนะนำาความหลากหลายแบบอตโนมตเปนหวขอของการวจยตอไปอยางมาก อยางเชน ทามกลางแรแกรม OASIS และ SRS ภายใน DARPA พวกเราสำารวจสองหวขอของกระดาษเหลาน ปญหาทสอง คอ ระบบเจาะจง และโดยทวไปการพฒนาในสวนของการศกษาเกยวกบรหสและขนอยกบการใหความคดทดกวาเกยวกบผลกระทบทเกดขนมผลตอความคงอยของระบบอยางไร ทจะกลาวตอไปเปนตวอยางระบบในหวขอนการสรางบรการใหคงอยโดยใชความซบซอนและการปรบตวหนงสอของ Hiltunen et al. สนบสนนการใชความซบซอนและการปรบตวสรางบรการทยงคงยและเสนอความคลายกนทวไปเพอทำา ผแตงแนะนำารปแบบทแตกตางของความซบซอน ความซบซอนในระบบและเวลาและการใชวธการทมากเกนไป วธการทมากเกนไปควบคมคณลกษณะดานความปลอดภยและคณลกษณะอนทยงเหลออย ถาหนงในวธทนอยทสดยงคงมสวนทไมมการประนประนอม ตวอยางนแสดงวธดำาเนนการถอดรหสทหลากหลายโดยการใชความแตกตางของระบบทมคาเปนศนย พวกเขากระตนการใชมากเกนไป

เพอหลกเลยงจดออนเดยวและแนะนำาความซบซอนทประดษฐและคาดไมถงเขาไปในระบบ พวกเขาใหลกษณะพเศษดานความซบซอนไดผลดคลายองคประกอบอสระมากเกนไปและเปาหมายหลกของการออกแบบเพอใหมอสระมากขน

ตวอยาง พวกเขาใชความซบซอนตอบรการการตดตอปลอดภย เรยกวา SecComm SecComm จดการใหการตดตอปลอดภยทำาตามคำาสงโดยการยอมรบคณลกษณะดานความปลอดภยของผใชโดยเฉพาะและอลกอรทมสำาหรบการเตรยมคณลกษณะเหลาน วธการททำาใหถงจดหมายแบบดงเดม คอ การเลอกอลกอรทมการเขารหสทดกวาหรอการเพมขนาดของคยเขาไปในระบบความปลอดภยเพอไมใหอยรอด ตงแตสาระยงคงบรรจจดออนเดยว เพราะฉะนน Hiltunen et al. ไดเสนอการใช 2 เทคนคหรอมากกวารบประกนคณลกษณะทมากกวาวธเดยว สำาหรบอสรภาพสงสด คยแตกตางสรางการใชวธการกระจายคยทแตกตางใชสำาหรบแตละวธการแยกสวนเปนชนถกเสนอเมอมหลายการเชอมตอ ทระดบพนฐาน พวกเขาจดเตรยมความซบซอนโดยวธใชความตอเนองหลายขนตอขอมลทเหมอนกน พวกเขาแนะนำาความคดเหนทวไปมากมายเพอเปลยนแปลงวธของแอพพลเคชน กบเปาหมายหลกทมอยมากคลายกบสงทถกกลาวถงขางตน จำานวนทเพมขนในสงทคงอยเปรยบเทยบไดยากตอคณภาพ เพราะฉะนน ประสบการณเหลานนมเหตผลตอการวดมลคาของความซบซอน

Hiltunen et al. มความสำาเรจในการกระตนการใชความซบซอนและความหลากหลายกบการเอาใจใสความปลอดภยของระบบคอมพวเตอร พวกเขาใหหลายตวอยางเกยวกบการใชสำาเนาหลากหลายเพอจประสงคทแตกตางและสองหมวดตอมาเปนตวอยางโดยเฉพาะเพอการใชสำาเนาหลากหลาย

10.4.3 สถาปตยกรรมซงอดทนตอการบกรกแบบวดไดสถาปตยกรรมซงอดทนตอการบกรกแบบวด (SITAR) ไดคอระบบตอตานการบกรกซงอาศยความซบซอนอยางมาก สวนประกอบหลกของสถาปตยกรรม SITAR คอ เซฟเวอรพรอกซ โดยการใหเหตผลทเขามาและออกจากสญญาณและคนหาความลมเหลวภายในเซฟเวอรแอพพลเคชนและทามกลางตว SITAR เอง ผลตรงขามของการบรรเทาเนองจากลวงลำาผานการใชความซบซอนและความหลากหลายของสวนประกอบภายใน ความหลากหลายเปนความสำาเรจดวยมอโดยการเลอกรหสเซฟเวอรทแตกตาง (เชน อาปาเช บรการขอมลอนเตอรเนตสำาหรบเวบเซฟเวอร) และระบบปฏบตการทแตกตาง (เชน ลนกส โซลารส ไมโครซอฟท) ดวยวธน ผเขยนรบหนงเซฟเวอรเทานนทประนประนอมไดโดยการโจมตเดยว ยอมรบสงเหลานนเพอสรางรปแบบเดยวสำาหรบระบบเหลานน

ระบบยอยเฉพาะใชความซบซอนเปนการลงคะแนนควบคมระบบยอย การควบคมไดรบการตอบสนองจากศนยควบคมการตอบรบ แสดงการใหเหตผลของการตอบสนองและใชการลงคะแนนอลกอรทมเพอคนหาการกระทำาของการโจมตและตอบโตการโจมตโดยการเลอกคำาตอบสวนใหญเปนคำาตอบสดทายสงทใหมาและงานทสนบสนนSITAR เปนตวอยางทดของการใชสำาเนาหลากหลายเพอแกไขสงทเหลออยของระบบ สถาปตยกรรมใชเปนตวอยางไดอยางชดเจน เหมาะสมทจะไดรบความหลากหลายและคำาตอบ และพวกเขาสามารถคนหาและตอบสนองการโจมต อยางไรกตาม งานจะไมหยดลงความเหนดานการออกแบบทฤษฎสำาหรบสำาเนาทแตกตาง10.4.4 การคงอยโดยการทำาใหปองกนไดPal et al. ใหความเหนกบทฤษฎการอยรอดและการตอตานการบกรก เรยกวา การคงอยโดยการปองกน ความคดหลกคอแนะนำาอปกรณปองกนซงเพมอปกรณปองกนธรรมดากบวธการแบบไดนา

มกสสำาหรบการตอบสนองตอความสำาเรจในการโจมตบางสวน เนองจากสมมตฐานเหลานนขาดการควบคมเหนอสงแวดลอม (เชน ระบบปฏบตการ, เครอขาย) พวกเขาใหความสนใจกบการทำางานทถกตองของแอพพลเคชนทถกตอง เพราะฉะนน การทำาใหปองกนไดแสดงเกยวกบแอพพลเคชน กบสมมตฐานทสามารถเปลยนแปลงได

ชนดของการโจมตพจารณาจากความไมซอสตยทเปนผลจากการโจมตทมงราย ขอบกพรองในการเอาเปรยบในสภาพแวดลอมของแอพพลเคชน (พวกเขาสรปวาเปนไปไดมากทสด) ตงแตความรและการกระทำาภายในสภาพแวดลอมถกจำากด สมมตฐานทำาเปนเชนนน ผดำาเนนการใหสทธพเศษทไดรบมาจากโดยผโจมต ในสภาพแวดลอม การทำาใหปองกนไดถกแยกกลายเปนสองสวนเปาหมาย (1) โอกาสของผโจมตเพมขนชาลงและ (2) การปองกนตอบสนองและปรบใหเขากบโอกาสของการใชในทางทผดของผโจมตตอทรพยากร เพราะฉะนน แอพพลเคชนจะทำาใหปองกนไดถากลไกทอยในสถานทนนเปนสาเหตใหผโจมตสวนใหญเอาสงสำาคญทยาวกวาทำาใหเสอมลง (กลไกเหลานคอยรบในมดเดลแวร)

เพอขดขวางโอกาสของการกระจายอยางรวดเรว ความคดเหนหลกตอการแบงระบบเปนทชดเจน ความปลอดภยหลกประกอบดวยองคประกอบผใชทกำาหนด (เชน โฮส, LAN, เราเตอร) เชนนนแตละขอบเขตมการยอมรบกลมของสทธพเศษ Pal et al แนะนำาการใชสภาพแวดลอมทแตกตาง (ชนดของฮารดแวรทแตกตาง, ระบบปฏบตการ) เพอขดขวางโดเมนสทธพเศษผดำาเนนการจากหนงโดเมนเปลยนใหกลายเปนโดเมนสทธพเศษผดำาเนนการในโดเมนอน ดงนน แอพพลเคชนทถกเผยแพรขามโดเมนความปลอดภย (เชน ความซบซอนของแอพพลเคชน) เพอลดผลกระทบของสทธพเศษทเพมขนภายในโดเมน ไมจำากดการทำาซำาของแอพพลเคชน Pal et al แนะนำารปแบบอนๆของคำาตอบ อยางเชน การตดตอซบซอน สมมตฐานทหนกแนนทสรางขนนนดำาเนนการโจมตอยางเปนลำาดบ (

โจมตเปนชวง) แทนทการกระทำารวมกน นนคอ การโจมตบนแอพพลเคชนในหลายโดเมนซงชากวาการโจมตบนหนงโดเมน การออกแบบทคลายกนเหลานนเปนการออกแบบแอพพลเคชนทฉลาดแจกจายขามโดเมนความปลอดภย ดงนนสทธพเศษในกลมของโดเมนทตองการการประนประนอมตอแอพพลเค-ชน อยางไรกตาม ไมมการสนทนาถงการบงคบใหทำาตามการสนบสนนและงานเพมเตมกบความสมพนธตอการใชสำาเนาหลากหลาย ความสำาคญของงานนเปนความใกลเคยงกนทระดบสงกวาตอการใชความซบซอน นเปนการแสดงใหเหนวาการแบงเครอขายภายในโดเมนทแตกตางกน ดงนนการโจมตบนโดเมนทมการจำากดผลกระทบบนโดเมนอนเทานน10.4.5 การจดเตรยมวธการบรการทนาวางใจโดยการสำาเนาสภาพระบบการปฏบตงานในหวขอยอยของ Schneider and Zhou เปนการสำารวจทครอบคลมบนเทคนคเพอการจดเตรยมเครองมอเพอเผยแพรทนาวางใจ ในเนอหา ปญหาของการเผยแพรทนาไวใจเปนการแกปญหาโดยการใชสำาเนาและปญหาทเจอเปนสงทคลายกบประเดนหลกของสวนน โดยการเผยแพรทนาไวใจ เปนความเปนไปไดสำาหรบการหยดขอผดพลาดสำาหรบระบบทถกเผยแพรทเกนกวาการหยดขอผดพลาดของทกๆเซฟเวอรเดยว ความสำาคญแรกของผเขยนเปนการใชการฟ นสภาพเขาควบคมสถานการณเพอเปลยนแปลงระบบนนซงยอมใหเกดการหยดความผดพลาด t ในเวลาระยะเวลาของระบบตอระบบนนซงเปนการหยดความผดพลาด t ภายในเวลาของวนโดว นคอสงทนำามาใชประโยชนไดเพราะเปนสงทแขงแรงขนมากสมมตฐานนนไมมากกวาความผดพลาด t ทจะมอยในเวลาหนง เนองจากความซบซอนทเพมขนตอการออกแบบระบบเปนสงทแนะนำา ตอจากนน พวกเขาสนทนาคยบรการททำาใหเสถยรและวดได สงไหนเปนความสำาเรจทามกลางการใชโปรโตคอลการใชความลบรวมกน การยอมรบ

นเปลยนเปนชวงเวลาเพอคยความลบทใชรวมกนเพอความโปรงใสตอลกคา กบการพจารณาคยเซฟเวอรทเสถยร Schneider and Zhou สนทนาถง 3 วธ กลาวคอ การใชฮารดแวรทนาไวใจ, คยไมสามาตดตอได, หรอคยบรการสาธารณะทอานไดอยางเดยว

สมมตฐานอสระของความผดพลาดเปนสงทถกสนทนาและวธการเพอลดความผดพลาดทสมพนธกนทถกกลาวถง คอ

1.การพฒนาหลายๆเซฟเวอรใหสำาเรจ, สงไหนทเปนความพยายามโดยทวไปทมราคาสง

2.การใชสวนประกอบทหลากหลายทมอยกอน อยางเชน การใชระบบปฏบตการทแตกตาง

3.การแนะนำาความหลากหลายทเกดขนในระหวางรวบรวมหรอรนไทม สงไหนจะไมกำาจดขอบกพรองทมอยในอลกอรทมทจดเตรยมไวความตองการทสำาคญถดไปในการไวใจทเผยแพรเปนการรวมมอกนสำาเนา นเปนความตองการสวนใหญสำาหรบความคดเหนของคนสวนใหญ สงไหนทเปนไปไมไดตอการตดสนใจใหเปนผลในตนแบบทแตกตางกน วธการแกปญหาทใหคอ

1.ปลอยวางความคดเหนของคนสวนใหญหรอรวบรวมการใชความลบรวมกนทงหมด (มากกวาการมเหนดวยบนหนงการใชรวมกน)

2.ใชการสมตวอยางเพอแกปญหาของขอตกลง Byzantine3.การสงเวยสงทมชวต (ลกษณะชวคราว) สำาหรบสมมตฐานท

ออนกวาของตนแบบเวลาทแตกตางกนสดทายน Schneider and Zhou สนทนาเกยวกบปญหาและวธการทเกดขนขอมลทเปนความลบถกเกยวของ ปญหาหลกของขอมลทเปนความลบนนไมสามารถเปลยนแปลงไดโดยการควบคมการฟ นสภาพและ ททกๆเวลาพวกเขาไมถกเขารหส ความลบเหลานนอาจจะหาย โดยการใชการเขารหสใหมหรอการสรางเชนเดยวกน สงทเปนไป

ไดสำาหรบลกคาเพอขอมลทถกเขารหสไดกลบคนมาในกรณทซงควบคมการเตรยมวธการบรการเขาไป

หวขอยอยของ Schneider and Zhou เปนการแนะนำาการเขยนทดตอปญหาและวธการของการเผยแพรทนาไวใจ สงไหนทเปนปญหาทคลายกนทเผชญเมอการใชสำาเนาหลากหลายในระบบ สวนถดไปเสนอสงทคลายกนโดยเฉพาะตอปญหาน10.4.6 การเผยแพรทนาไวใจบนอนเตอรเนต ความคลายกนของการออกแบบCachin เสนอสถาปตยกรรมสำาหรบสภาพกลไกคำาตอบทปลอดภยในเครอขายทแตกตางกนและเปนศตร นคอความสำาเรจทามกลางการพฒนาเรวๆนในจดเรมตนการศกษาเกยวกบรหสสญญาณและโปรโตคอลสำาหรบการกระจายทเลกมาก ขนอยกบระดบของความหลากหลายในเซฟเวอรสำาเนา ใบประกนชวตและความปลอดภยสามารถทำาภายใตสมมตฐานทแนนอน (เชน ม n เซฟเวอรซงอยนงและท t สวนมากอาจจะผด) ผออกแบบระบบทเผยแพรสามารถกำาหนดคณสมบตซงมความหมายไดโดยงาย อยางเชน สถานทและชนดของระบบปฏบตการ ซงเปนตวแทนขนาดทแตกตางของความหลากหลายภายในระบบ จากคณสมบตเหลาน หนงในนนสามารถสรางการอธบายเกยวกบเซฟเวอรอาจจะประนประนอมในเวลาเดยวกน (ซงเปนทางการคลายโครงสรางศตรโดยทวไป) และออกแบบแผนการใชความลบรวมกนซงทำาใหแนใจวาหลกประกนของระบบทเผยแพรไดถกควบคม

การใชความหลากหลายสามารถหลกเลยงการทำาสมมตฐานมาตรฐานทเปนอสระของความผด การยอมรบระบบทระงบการกระทำาทเปนอนตรายและความเปนคลายคลงทดกวา โปรโตคอลในความคดเหนของคนสวนใหญบรรยายภายใน Cachin เปนสวนของทลคตสถาปตยกรรมความปลอดสำาเนาระงบการบกรก (Sintra)การสนบสนนและงานเพมเตม

Cachin เสนอเทคนคเฉพาะสำาหรบการเผยแพรทนาไวใจในสภาพแวดลอมทไมนาไวใจ งานนเปนสงสำาคญในความคลายกนทชดเจนถกเสนอใหยอมรบผออกแบบระบบหรอผดำาเนนการเพอรวมกนโดยงายในสถาปตยกรรมนกลายเปนเครอขายกบการไมคงอยของการใชสำาเนาหลากหลายและไดรบการปรบปรงในความอยรอดของระบบ

การขยายออกตอแผนการทถกอธบาย อยางเชน การใชการฟ นสภาพทควบคมได การแบงกลมเซฟเวอรแบบไดนามกส โครงสรางความผดพลาดแบบไฮบรดจนนทำาใหเหนความแตกตางระหวางความผดพลาดธรรมดาและความผดพลาดทเปนอนตราย และโปรโตคอลทคาดหวงสงทดนนปรบความเรวเหลานนขนอยกบการประพฤตตวของศตร (เนองจากสงสำาคญทอยเหนอหวของโปรโตคอลกระจายทเลกมาก)10.5 การตอบสนองตอชนดของการโจมตโดยเฉพาะประเภทนของ IRS ถกสงใหทำาการตอบสนองตอชนดของการโจมตโดยเฉพาะ โดยทวไป การโจมต DDoS มความพยายามไมพอเพยงทการตอบสนองตอชนดของการโจมตพเศษอนๆ หนงตวอยางเปนการตอบสนองตอการโจมตภายใน ทซงคลายถกเสนอ ประกอบดวยการเปลยนแปลงกฎควบคมทางเชาหรอการดรอบการเชอมตอบางสวนเมอการคกคามทระดบสงถกมองเหน อยางไรกตาม เทคนคนจนกระทงเดยวนมผคนใชความพยายามและสงทมอยในสงตพมพในเทอมของการใชเหตผลทถกตองของระบบอตโนมตตอตานการโจมตภายในทแตกตาง ดงนน พวกเราใหความสนใจไปทเทคโนโลยตอบสนองการโจมต DDoS น

การโจมต DDoS เสนอ ปญหาทเพมขนสำาหรบผจดการเครอขายรอบโลก บนอนเตอรเนต การโจมต DDoS เปนหนงในสงจำานวนมากของการประนประนอมระบบโจมตเปาหมายเดยว ดวยวธนนกอใหเกดการปฏเสธของบรการ (DoS) สำาหรบผใชของระบบเปาหมาย จำานวนมากของขอความทเขามาตอระบบเปาหมายโดยพนฐาน

อยางรนแรง ศตรเรมการโจมต DDoS โดยการเอาเปรยบความออนแอในระบบคอมพวเตอรหนงและสรางระบบคอมพวเตอร DDoS “ผปกครอง ซงเปนมาจากระบบหลกนน ผบกรกแสดงตว”และตดตอกบระบบอนๆนนสามารถประนประนอม ผบกรกบรรจเครองมอสดยอดทมประโยชนบนอนเตอรเนตไปยงบางเวลาทหลากหลายจำานวนมากของระบบประนประนอม กบคำาสงเดยว ผบกรกสอนใหควบคมกลไกเพอเรมดำาเนนการหนงในการโจมตจำานวนมากปะทะกบเปาหมายโดยเฉพาะ การลนของแพคเกตตอเปาหมายกอใหเกดการปฏเสธบรการ

ทลคต DDoS ทมประสทธภาพอยางมากเปนสงทอาจเกดขนไดอยางทนททนใดตอผโจมตและระบบพนฐานทอาจเกดขนเปนการจดเตรยมทไมเหมาะสมตอการปองกนตวระบบเอง ทงความสะดวกเหลานนของการใชและทำาอยางมประสทธภาพใหเครองมอทสมบรณสำาหรบความพยายามสวนบคคลทประสงครายเพอทำาใหเครอขายและบรการเวบเสยหาย ดงนน บรษทและสถาบนการศกษากำาลงทำางานนอกเวลาเพอแกปญหาทซบซอนน และระบบทคงอยนนทำางานเพอทอย DDoS นาเสยดาย ไมมวธการจดการอยางเตมทคอยๆพฒนาทลคต DDoS ทเรมใชทกวนนและลมเหลวในการเสนอการรวมวธแกปญหาเขาดวยกนทงหมดตอปญหา อยางไรกตามความลมเหลวนของระบบ DDoS จดการดวยมอทยงมอย ระบบอยางเชนการตดตามยอนหลงและสถาปตยกรรมตอบสนองซงทำางานรวมกน(CITRA) และสถาปตยกรรมทรวมมอกนครอบครองสญญาจำานวนมากสำาหรบอนาคต10.5.1 การตอบสนองแบบดงเดมตอ DDoS การโจมต DDoS อยางเปนแบบฉบบตองการ 4 สวนคอ ผโจมต โฮสหลกโฮสซอมบ และโฮสเหยอ การใชความเอาเปรยบในระบบระยะไกล ผโจมตจะตดตงโปรแกรมโจมตทสามารถควบคมระยะไกลโดยโฮสหลก เมอการโจมตเรมขน โดยปกตจะตกเขาไปในหนงในสองกลม

คอ การทำาใหแบนดวธลดลงและการทำาใหทรพยากรลดลง ผโจมตสามารถปฏบตหนาทโจมตเหลานไดโดยตรงหรอทามกลางการสะทอน การสะทอนทำาความแตกตางมากกวาเพอตดตามทรพยากรของปญหาและขอเสนอ การทาทายทสำาคญตอระบบจดการดวยมอ DDoS โดยความสามารถในการสะทอนแพคเกตออกจากโฮสอน เสนแรกของการปองกนศตรโจมต DDoS เปนการปองกนการบกรกตวกรองการจำากดอตราเปนการใชอยางธรรมดาสำาหรบการขดขวางการโจมต DDoS เหตผลวาทำาไมการปองกนการบกรกและการคนหาการบกรกไมเหมาะสมตอการแกปญหาทกชนดของการโจมต DDoS เปนความยากทบอยตอการบอก 2 ชนดของสญญาณทแยกออก ถงแมวาบางสญญาณ DDoS สามารถจำาแนกความแตกตางไดโดยงายจากสญญาณตามกฎหมาย นคอสงทไมถกตองในกรณทวไป10.5.2 CITRA CITRA เปนหนงในระบบทมอยในปจจบนนในงานพฒนาเพอจดการทำาใหการโจมตแบนวดธหมดสน โดยปกต CITRA (และโปรโตคอลแยกออกและคนหาผบกรก) บนทซง CITRA เปนพนฐาน) ไมมการตอบสนอง DDoS คลายเปาหมายเหลานน CITRA ถกพฒนาขนเพอใหสามารถทำาระบบพนฐาน IDSs, ไฟรวอลล, เราเตอรและสวนประกอบอนๆเพอตดตามและยบยงการบกรกเครอขายทมางานรวมกนเหมอนการปดทรพยากรเหลานนใหเปนไปได ตอมา CITRA ไดถกปรบใหเหมาะสมเพอการตอบสนองตอการโจมต DDoS CITRA ถกใชโดยการสรางเครอขายซงทำางานรวมกนของโหนด แตละอนจะถกตดตงกบซอรฟแวร CITRA โหนดบนทกตวมนเองและความพยายามทำางานรวมกน กบสวนทเหลอของโหนดทามกลางการคนพบรวมกน เมอการโจมตถกคนพบ โหนด CITRA ตดตามยอนหลงไปสทรพยากรทามกลางการใชขอมลตรวจสอบบญชเครอขาย คลายกบสวนของการตดตามยอนหลง การกระทำาชวคราวสดทายใชเวลา 2 นาทเทานน เพอลดการลนเครอขาย ระหวาง 2 นาทวนโดวน DC

กำาหนดแผนการคดอยางมเหตผลมากขนสำาหรบจดการการโจมตไดอยางไร

แตละสวนของ CITRA คลายกบสวนหนงของการโจมต การตอบสนองถกเอาไปทำาใหสอดคลองกบกลไกนโยบาย CITRA จำากดอตราสญญาณถกใชคอนขางมากกวาตวกรองแพคเกตเพราความยากลำาบากของการเตอนแพคเกตทถกตองจากหนงในนนเปนสวนของการไหลของแพคเกตคตอส แผนการตอบสนองนเกอบจะเหมอนตงแตบางสญญาณ DoS อาจจะไดรบระหวางบางสญญาณทถกตองอาจจะไดรบปดบง แตกบการเลอกพารามเตอรทด แบนวธดทเพยงพอ จะสามารถเปนไปไดสำาหรบสญญาณทถกตองแมกระทงระหวางทความเรวลดลง ดงนนผแตง CITRA ผสมผสานการใชตวทำาหนาทเปนตวจำากดอตรา บรการการจำากดอตราทสามารถทำาไดกบเนตฟลเตอร การทดลองการใชรลเพลเยอรไดสำาเรจบนทดสอบประกอบดวยหลายๆซบเนต Contributions and Further Work

สถาปตยกรรมนชใหเหนถง การใหความสนใจและใหจดสนใจท ทศทางของการสนบสนนการพฒนา DDos mitigation ซงไมตองการการจดเรยงความหมายทเปนสากล ซงเปนองคประกอบใหญแงด ตอกลไกลการตอบสำานอง ของ DDos ใดๆ

ปญหาทเปนไปได กบ ระบบเชอมโยง มการ trace back ชากวาแตวาเหมาะสม และ มขอจำากดทสามารถวดได ระบบในปจจบนตองการ วธทดมากขน ของ การจดการกบการโจมต มากกวา การจำากดอยางงายแบนวธดอยางงายโดยตรง , การโจมตแบบ multi-pronged ยงไปกวานน การดแล Package ทงหมด ทรบเขามาจาก เครอขายอนๆนน ไมสามารถวดไดโดย ปราศจากขนตอนการแกปญหาทด มการทำางานตอเนองทสำาคญในพนทของ การสรางสรรค Routers ใหเรวขน โดย การพฒนา high-speed algorithms 10.5.3 Cooperative Counter-DDoS Entity

Design Approachเหมอนกบ CTRA ซงทำางานรวมกบ สถาปตยกรรม [21] ซง

พยามหาทมาของการโจมต แต วธการใช Domains รวมกน นน มการตรวจสอบภายใน ถามการสงการโจมต แบบ DDos และถาเปนดงนนจะมการแจงเตอน เครอขาวอนๆ ท อาจจะไดรบผลการโจมตนนดวย เพอการแจกจายใหกบปรมาณของระบบ และ ความแออดของขอความทมากขน ระบบจะใชการสงแบบ Multicast การสงแบบ Multicast จะยอมให Source Host ขอความไปยงหลายๆ Host ผานไปยง spanning tree ทเหมาะสมดวยการสงเพยงครงเดยว และ จะทำาซำา เมอเสนทางไปยง spanning tree แยกออกเทานน ภายในแตละ Domain จะม Entity ซงกำาหนดความเปนไปไดของการโจมตภายใน โดยมองหาจากการเตอนจาก Entity อนๆ และ Domain และ ผลรบของ การทำา IDSs บนเครอง ถาม Entity ตวใดลมเหลว ตวอนๆ จะมความสามารถทจะเขาไปแทนทได เมอมการแจงเตอนทใดๆ เกดขนเกนกวาครงหนง Entity จะใชการแจงเตอนจากการใช Reaction Table ซง ตารางนจะจดหาการจดการทเหมาะสมใหกบสถานะของปญหาในขณะนน ระบบนขาดแคลนประสบการณการแสดงใหเหนถงการรองรบกบปญหาทเกดกบตวของมนเอง และ เสนอการตอบสนองทแตกตางกวา CITRA โดยการไมใชกลไกลการ Trace-Back แบบเดม ระบบจะสามารถตอบสนองไดเรวกวา และ ใหผลไดตามทตองการมากกวา แตอยางไรกตาม จะกอใหเกดการสอสารอยางหนกในสาย backbone ทำาใหระบบใชการไมไดContributions and Further Work

งานนแสดงใหเหนถงสถาปตยกรรมทนาสนใจสำาหรบการตอบสนองทเรวตอ การโจมตแบบ DDos มนไปในทศทางอนจากความเชอใจใน trace back อยางไรกตามผวหนาของปญหาทคงอยในวนนกคอ วธการตรวจจบ package ทผดปกตทเขามาโจมต จากการโจมตแบบ DDos ไดอยางไร สวน

ปญหาอนๆ แกจากการตรวจหาทมาของ package ทำาอยางไรจงจะคนพบทมาของการโจมตถามนคอการโจมตทมาจาก Switching อยางตอเนอง หรอ ผานเขาในเครอขาย ดวย ขนตอนทนอยกวาแตวามประโยชน ตอผดแลเครอขาย ทายทสด อะไรคอทงหมดของคำาตอบ ทจะสามารถกระกอบเขากบระบบการบรรเทาการโจมตแบบ DDos ใชคำาตอบหนงของการเปดปด Bandwidth หรอ การกรอง package ใชหรอไม ?

ระบบการจดการ DDos ในวนน มจดออนหลายจดทสามารถใชประโยชนจากมนได ซงยงคงตองการวธการในการจดการการคนหาตนตอของการโจมต และหนทางทดขนในการตรวจจบการโจมต การบลอกการใช Remote Host จะเปนวธทเหมาะสม แต ขนตอนการ trace-back นนชามาก และ เปลองทรพยากรมาก ดงนน จงอาศยการทำางานรวมกนของเครอขายเพอนบาน และ การจำากดของการโตตอบ การกระทำาทกลาวมาแลวทงหมดกไมไดผลเชนกน มนใหผลเพยงแค ทำาใหการโจมตนนไดผลชาลง หรอ หยดการโจมตเทานน แตทำาใหผใชจรงๆถกผลกระทบของการปองกนนนไปดวย การตอบสนอง การตรวจจบ และ การ trace-back ทดกวาจะตองถกพฒนาขน ถาระบบเหลานเขาไปสระบบในโลกจรงๆ10.6 เกณฑมาตรฐานระบบตอบสนองการบกรกมนเปนความสำาคญตอเกณฑมาตรฐานของ IRS บางสวนในการใชเมตรกซบอกจำานวน นคอพนทเรมตนใหมภายในการออกแบบ IRS และพฒนาและหนงในนนตองการงานทสำาคญตอการไดรบการเจรญเตบโต ดงนน สวนนจะเปนพนฐานเกยวกบหลกสตรความสำาเรจของการกระทำาสำาหรบการพฒนาในอนาคตและตวอยางจากการคงอยของ IRS ADAPT เมตรกซจะจบ 2 เปาหมายสำาคญของ IRS เพอใหหนาทการลดคาอยางนมนวลในการเสนอการโจมตและทำาระบบททนทานมากกวาการโจมตในอนาคต

เรมดวยการพจารณารปแบบการรวมกนเบองตนสำาหรบความอยรอด กำาหนด G เปนเปาหมายเหนอระบบ (เชน ขายผลผลตหรอบรการบนอนเตอรเนต) ซงเปนความสำาเรจทามกลางเปาหมายยอยยงอย Gi (เชน การดำาเนนการทแตกตางกนเปนไปไดบนระบบ) I = 1,…, N แตละเปาหมาย Gi ใหนำาหนก Wi บงบอกความสำาคญใน

ความสำาเรจของเปาหมายระบบ G ,∑

iW i=1

นสามารถประมาณคาโดยจำานวนของผใชซงไปถงเปาหมายยอยเปนเลขเศษสวนของจำานวนผใชทงหมด เศษสวนของการใชเปาหมายยอย หรอจำานวนถกกำาหนดโดยระบบตวเอง แตละเปาหมายยอย Gi ถกแยกออกภายในการรวม

กนของกลมบรการSij→, J=1 , .. . ,N i ดงนนแตละกลมของบรการจะตอง

ทำาหนาทสำาหรบคำาตอบ Gi แตละกลมสามารถสนบสนนใหการแยก

ของบรการเบองตน Sijk→, k=1 ,. .. , N ij บางบรการของกลมนจะทำาหนาท

กอใหเกดกลมหนาท Pxแสดงถงความนาจะเปนไปไดนนบรการ X ไดรบผลกระทบโดยการขดขวางและไมสามารถใชและ Pyแสดงถงความนาจะเปนไปได หลงจากนน PGi=Max(Min(PSijk ) เหนอ k=1 ,. .. , N ij เหนอj=1 ,. .. , N ,PG=∑

iW i PGiความอยรอดเกดขนโดย 1−PG

มเปาหมายความปลอดภยทแนนอนสำาหรบระบบ องคประกอบของสงทเปนความเฉพาะในตาราง 10.2 คลายกบนำาหนก ดงนน การเพมคำาวา ขดขวาง กอน ใหเปาหมายนำาหนกทตดอยเพอการดำาเนนการและเปาหมายความปลอดภยถกใชการคำานวณความอยรอดเปนการอธบายดานลาง

ผแตงกำาหนดความอยรอดบนพนฐานการดำาเนนการขนสงและเปาหมายความปลอดภย ดงนน เมตรกซแสดงผลกระทบของ ADEPTS บนการทำาหนาทระดบสงของระบบการคาขายออนไลน

ความอยรอด=1000-(ผลรวมการดำาเนนการททำาไมได)-(ผลรวมเปาหมายความปลอดภยทผดพลาด)10.7 ความคดบนววฒนาการของเทคโนโลย IRS -ความสามารถตอโครงการทนตอการโจมตทคาดไมถง-การตอบสนองแบบไดนามกสกบการเปลยนแปลงโครงสรางภายนอกเครอขาย-การทำางานรวมกนกบสวนประกอบอนของโครงขายความปลอดภย-การแยกของนโยบายและกลไก-การออกแบบพนทผใช

cpe.rmutt.ac.thcpe.rmutt.ac.th/comnet/_Computer_Network/2551-2/Pres… · Web viewบทที่...

Documents

Transcript of cpe.rmutt.ac.thcpe.rmutt.ac.th/comnet/_Computer_Network/2551-2/Pres… · Web viewบทที่...