TIÊU CHUẨN QUỐC GIA TCVN 10176-8-5:2017 (ISO/IEC 29341-8-5:2008) VỀ CÔNG NGHỆ THÔNG TIN – KIẾN TRÚC THIẾT BỊ UPNP – PHẦN 8-5: GIAO THỨC ĐIỀU KHIỂN THIẾT BỊ INTERNET GATEWAY – THIẾT BỊ ĐIỂM TRUY CẬP MẠNG CỤC BỘ KHÔNG DÂY

TIÊU CHUẨN QUỐC GIA

TCVN 10176-8-5:2017

ISO/IEC 29341-8-5:2008

CÔNG NGHỆ THÔNG TIN – KIẾN TRÚC THIẾT BỊ UPNP – PHẦN 8-5: GIAO THỨC ĐIỀU KHIỂN THIẾT BỊ INTERNET GATEWAY – THIẾT BỊ ĐIỂM TRUY CẬP MẠNG CỤC BỘ KHÔNG DÂY

Information technology – UPnP Device Architecture -Part 8-5: Internet Gateway Device Control Protocol – Wireless Local Area Network Access Point Device

Lời nói đầu

TCVN 10176-8-5:2017 hoàn toàn tương đương với ISO/IEC 29341-8-5:2008

TCVN 10176-8-5:2017 do Tiểu Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC 1/SC 35 Giao diện người sử dụng biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.

Bộ TCVN 10176-8 Công nghệ thông tin – Kiến trúc thiết bị UPnP gồm các tiêu chuẩn sau:

– TCVN 10176-8-1:2017 (ISO/IEC 29341-8-1:2008), Phần 8-1: Giao thức điều khiển thiết bị internet gateway – Thiết bị internet gateway

– TCVN 10176-8-2:2017 (ISO/IEC 29341-8-2:2008), Phần 8-2: Giao thức điều khiển thiết bị internet gateway – Thiết bị mạng cục bộ

– TCVN 10176-8-3:2017 (ISO/IEC 29341-8-3:2008), Phần 8-3: Giao thức điều khiển thiết bị internet gateway – Thiết bị mạng diện rộng

– TCVN 10176-8-4:2017 (ISO/IEC 29341-8-4:2008), Phần 8-4: Giao thức điều khiển thiết bị internet gateway – Thiết bị kết nối mạng diện rộng

– TCVN 10176-8-5:2017 (ISO/IEC 29341-8-5:2008), Phần 8-5: Giao thức điều khiển thiết bị internet gateway – Thiết bị điểm truy cập mạng cục bộ không dây

– TCVN 10176-8-10:2017 (ISO/IEC 29341-8-10:2008), Phần 8-10: Giao thức điều khiển thiết bị internet gateway – Dịch vụ quản lý cấu hình host mạng cục bộ

– TCVN 10176-8-11:2017 (ISO/IEC 29341-8-11:2008), Phần 8-11: Giao thức điều khiển thiết bị internet gateway – Dịch vụ chuyển tiếp tầng 3

– TCVN 10176-8-12:2017 (ISO/IEC 29341-8-12:2008), Phần 8-12: Giao thức điều khiển thiết bị internet gateway – Dịch vụ xác thực liên kết

– TCVN 10176-8-13:2017 (ISO/IEC 29341-8-13:2008), Phần 8-13: Giao thức điều khiển thiết bị internet gateway – Dịch vụ radius từ máy trạm

Bộ tiêu chuẩn quốc tế ISO/IEC 29341-8 Information technology – UPnP device architecture còn các tiêu chuẩn sau:

– ISO/IEC 29341-8-14:2008, Part 8-14: Internet Gateway Device Control Protocol – Wide Area Network Cable Link Configuration Service

– ISO/IEC 29341-8-15:2008, Part 8-15: Internet Gateway Device Control Protocol – Wide Area Network Common Interface Configuration Service

– ISO/IEC 29341-8-16:2008, Part 8-16: Internet Gateway Device Control Protocol – Wide Area Network Digital Subscriber Line Configuration Service

– ISO/IEC 29341-8-17:2008, Part 8-17: Internet Gateway Device Control Protocol – Wide Area Network Ethernet Link Configuration Service

– ISO/IEC 29341-8-18:2008, Part 8-18: Internet Gateway Device Control Protocol – Wide Area Network Internet Protocol Connection Service

– ISO/IEC 29341-8-19:2008, Part 8-19: Internet Gateway Device Control Protocol – Wide Area Network Plain Old Telephone Service Link Configuration Service

– ISO/IEC 29341-8-20:2008, Part 8-20: Internet Gateway Device Control Protocol – Wide Area Network Point-to-Point Protocol Connection Service

– ISO/IEC 29341-8-21:2008, Part 8-21: Internet Gateway Device Control Protocol – Wireless Local Area Network Configuration Service

CÔNG NGHỆ THÔNG TIN – KIẾN TRÚC THIẾT BỊ UPnP – PHẦN 8-5: GIAO THỨC ĐIỀU KHIỂN THIẾT BỊ INTERNET GATEWAY – THIẾT BỊ ĐIỂM TRUY CẬP MẠNG CỤC BỘ KHÔNG DÂY

Information technology – UPnP device architecture -Part 8-5: Internet gateway device control protocol – Wireless local area network access point device

1  Phạm vi áp dụng

Tiêu chuẩn này phù hợp với kiến trúc thiết bị UPnP, phiên bản 1.0.

Tiêu chuẩn này xác định thiết bị Gốc Bắt buộc

urn:schemas-upnp-org:device: WLANAccessPointDevice.

Thiết bị điểm truy cập LAN không dây bao gồm các dịch vụ cho giao thức điều khiển thiết bị điểm truy cập (Access point device control protocol – DCP).

Điểm truy cập (Access point – AP) LAN không dây (Wireless LAN – WLAN) là thiết bị thực thi các chuẩn không dây IEEE 802.11 (a, b, g) để cung cấp một ‘hạ tầng’ mạng cho hộ gia đình hoặc công ty nhỏ. Xác định thiết bị không bao gồm việc sử dụng điểm truy cập trong ‘hotspots (điểm truy cập cá nhân)’ hoặc các mạng doanh nghiệp.

AP hoạt động như một cầu nối Ethernet cho phép gắn nhiều nút đến LAN. Hình 1a trình bày tôpô chung sử dụng cho mạng với điểm truy cập WLAN. Hình 1b trình bày cách sử dụng điểm truy cập như một cách mở rộng phạm vi hoạt động của mạng cục bộ. DCP bao trùm cả hai trường hợp.

Hình 1a – Thiết bị điểm truy cập WLAN – mô hình sử dụng chung

Hình 1b – Mở rộng mạng hiện có – tôpô mẫu

1.1  Trọng tâm và các mục tiêu cho DCP phiên bản 1.0

Ban Gateway Working Committee (IGD) đã nhất trí với các tập chức năng sau đây trong việc đưa ra các dịch vụ cho AP DCP phiên bản 1.0.

– Tạo cấu hình và truy vấn các thông số điểm truy cập chuẩn 802.11.

– Tự khởi động an ninh liên kết cho các WLAN trong đó sử dụng các điểm truy cập của chuẩn dựa vào chuẩn 802.11. Điều này bao gồm việc giới thiệu máy trạm không dây và thiết bị AP an toàn. Mục tiêu là giúp thiết lập và tạo cấu hình an ninh WLAN dễ dàng hơn cho các điểm truy cập chuẩn 802.11 và quản lý cấp quyền truy cập WLAN.

1.2  Phi mục tiêu đối với DCP phiên bản 1.0

Các mục sau đây được thảo luận và xem xét một cách ngắn gọn, không thuộc phạm vi của tiêu chuẩn này.

– Thay thế hoặc mở rộng cơ chế an ninh liên kết được cung cấp bởi điểm truy cập.

– Các dịch vụ tạo cấu hình cho điểm truy cập đối với ‘hotspot’ và các mạng doanh nghiệp.

1.3  Các yêu cầu và khuyến cáo đối với an ninh WLAN

An ninh liên kết là phần quan trọng đối với mạng chính không dây do tính kết nối không bị giới hạn bởi phạm vi hoạt động của các dây nối hoặc tính sẵn có của các gateway vật lý. Khả năng xảy ra của các liên kết ngang không biết trước và các cuộc tấn công nhanh có hại bắt buộc tăng cùng với tính phổ biến của các WLAN. Điều này sẽ gây bất lợi cho sự trải nghiệm của người sử dụng với các mạng không dây và cản trở việc đưa ra các hạng mục sản phẩm mới và các mô hình sử dụng. Khách hàng và nhà cung cấp dịch vụ sẽ yêu cầu an ninh liên kết là một phần của gói WLAN.

Một thay thế cho an ninh liên kết để bảo vệ tài nguyên cụ thể với các cơ chế an ninh bao gồm các tầng cao hơn (mạng hoặc ứng dụng) của ngăn xếp phần mềm nối mạng. Tuy nhiên, không thể kỳ vọng người sử dụng hiểu về mặt kỹ thuật cho nên sẽ gây khó khăn cho việc nhận dạng các điểm yếu (dữ liệu/thiết bị) trong mạng gia đình để bảo vệ chúng với các phương pháp thích hợp.

Hiện tại, cách phổ biến nhất để bảo vệ các liên kết trong chuẩn 802.11 bao gồm việc mã hóa và xác thực dựa trên WEP (Wired-equivalent privacy – bảo mật tương ứng với mạng có dây). Các rủi ro về an ninh khi sử dụng WEP là phổ biến. Một kẻ tấn công có thể phá khóa WEP bằng cách thu thập các gói với ‘chương trình phân tích mạng’ không dây và chạy các tiện ích sẵn có để xác định khóa WEP. Nếu người sở hữu WLAN nắm được thỏa hiệp an ninh thì khóa WEP trên tất cả máy trạm và AP sẽ được cập nhật bởi vì cùng một khóa WEP được sử dụng cho tất cả các nút.

Điều quan trọng với các thiết bị WLAN trong nhà nhằm thông qua các cơ chế an ninh bền vững hơn như là WPA (Wireless protected access – Giao thức an ninh trên mạng không dây) hiện đang được đề xuất trong chuẩn để tạo dựng lòng tin với khách hàng và mở rộng việc sử dụng các ứng dụng không dây. Lâu dài hơn, một kỳ vọng rằng đặc tả an ninh được thực hiện tại nhóm công tác của chuẩn 802.11 được thông qua rộng rãi và giải pháp thích hợp cho cơ chế an ninh bền vững trên AP. Các cải tiến an ninh cung cấp xác thực dựa trên mỗi người sử dụng, các khóa mỗi phiên, điều chế lại tần số và các phương pháp mã hóa bền vững hơn như là AES (Advanced encryption Standard – Chuẩn mã hóa nâng cao).

Một trong các vấn đề chính về việc sử dụng an ninh WLAN là quá trình thiết lập các thông số an ninh. Các cơ chế hiện hành sử dụng cho việc khởi tạo an ninh liên kết trên thiết bị AP không thân thiện với người sử dụng. Ví dụ, với mô hình dựa trên WEP, người sử dụng phải trích xuất khóa WEP cho AP thông qua kết nối an toàn/có dây trước và nhập trên máy trạm mới một cách chính xác. Vấn đề tự khởi động cũng tồn tại các cơ chế được đề xuất là một cải tiến về an ninh dựa trên WEP thuần túy. Bởi vậy, người sử dụng không cho phép an ninh trên mạng, dẫn đến một vài điểm yếu. Mục tiêu của cơ chế khởi tạo an ninh của chuẩn 802.11 sử dụng công nghệ UPnP đã đề xuất trong tiêu chuẩn này nhằm giảm sự liên quan của người sử dụng và giới thiệu mô hình sử dụng trực giác cho người sử dụng nhằm tạo thuận lợi cho mức an ninh cao hơn mà điểm truy cập có thể đưa ra.

Toàn bộ giải pháp an ninh sẽ bảo vệ người sử dụng khỏi việc nghe trộm bằng cách ngăn máy trạm của người sử dụng khỏi việc kết hợp với AP không thân thiện và IP của người sử dụng khỏi việc kết hợp với máy trạm nước ngoài. Có thể ngăn các tấn công phiên bằng cách đảm bảo tất cả các thông điệp giữa AP và máy trạm được xác thực. Không dễ bị tấn công từ điển, ví dụ: kẻ tấn công giải mã mật khẩu sau khi phát hiện yêu cầu và trao đổi phản hồi từ giao thức dựa trên mật khẩu.

Mục tiêu của DCP là cho phép giải pháp WLAN an toàn với các thiết bị AP thực thi các phần tử bắt buộc trong DCP. Hình sau đây trình bày các thành phần chức năng chính của thiết bị điểm truy cập WLAN.

Hình 2 – Các thành phần chức năng của thiết bị điểm truy cập WLAN

1.3.1 Tạo cấu hình thông số điểm truy cập

Dịch vụ tạo cấu hình WLAN, dịch vụ bắt buộc của thiết bị điểm truy cập WLAN cung cấp các biến trạng thái cho một số thông số điểm truy cập được định danh bởi nhóm công tác là có ích cho việc tạo cấu hình qua máy trạm UPnP. Ngoài ra còn cung cấp khả năng tạo cấu hình các thông số an ninh và hoạt động một cách dễ dàng, đưa ra thông tin chẩn đoán và giúp thiết lập chức năng lặp lại. Thêm nữa, công nghệ UPnP còn cung cấp khả năng thông báo sự kiện để báo với các máy trạm trên trạng thái của điểm truy cập. Với một AP mà không được kích hoạt với công nghệ UPnP, người sử dụng có thể truy cập đến một số thông số này qua trình duyệt web mà không có cơ chế xác thực và điều khiển truy cập nào. Cũng như vậy, các hoạt động tạo cấu hình đã gửi giữa điểm truy cập và máy trạm không được bảo vệ về tính cẩn mật và dễ bị tấn công.

Khuyến cáo đối với DCP của điểm truy cập cho phép một cơ chế xác thực truy cập đến các hoạt động UPnP và cung cấp tính cẩn mật của dữ liệu. Cũng được khuyến cáo nhằm cho phép cơ chế loại trừ truy cập không xác thực và không tin cẩn đến các thông số mà chỉ có thể được truy cập thông qua các hoạt động UPnP an toàn. Mọi thiết bị máy trạm trong LAN có thể thay đổi cấu hình của điểm truy cập mà không có điều khiển truy cập, ảnh hưởng đến toàn bộ mạng. Máy trạm truy cập đến liên kết an ninh mà khả năng quản trị không đáng tin cậy. Tình huống này đặc biệt có liên quan trong môi trường doanh nghiệp nhỏ. Hạn chế truy cập write đến các thông số AP sẽ giảm đi gánh nặng lên nhà cung cấp trang thiết bị và dịch vụ.

Khuyến cáo sử dụng các hoạt động xác định trong dịch vụ an ninh thiết bị để thực thi điều khiển truy cập. Nhóm công tác định danh các hoạt động cụ thể trong dịch vụ tạo cấu hình WLAN, dịch vụ xác thực liên kết và dịch vụ radius từ máy trạm được khuyến cáo là an toàn.

1.3.2  Hỗ trợ chứng thực mỗi máy trạm

Điểm truy cập có thể có khả năng hỗ trợ việc xác thực máy trạm WLAN riêng lẻ với chứng thực duy nhất. Có thể thực hiện điều này mà không cần máy chủ xác thực bằng cách sử dụng các khóa PSK WPA. Hoặc điểm truy cập có thể thực hiện được điều này bằng cách dùng một con trỏ đến máy chủ xác thực như là máy chủ RADIUS nằm bên ngoài thiết bị điểm truy cập qua các biến cung cấp trong dịch vụ radius từ máy trạm. Cách khác, điểm truy cập có thể hỗ trợ chức năng máy chủ xác thực cùng vị trí và cung cấp dịch vụ UPnP, cụ thể là dịch vụ xác thực liên kết. Đây là một dịch vụ tùy chọn có thể được sử dụng với AP DCP để hỗ trợ xác thực mỗi máy trạm với máy chủ xác thực cùng vị trí.

Tham khảo các tài liệu về định nghĩa Dịch vụ xác thực liên kết và Dịch vụ radius từ máy trạm để biết thêm chi tiết.

2  Xác định thiết bị

2.1  Kiểu thiết bị

Kiểu thiết bị sau đây định danh thiết bị phù hợp với mẫu này:

urn:schemas-upnp-org:device:WLANAccessPointDevice:1

2.2  Mô hình thiết bị

Khuyến cáo rằng thiết bị điểm truy cập WLAN được thực thi hỗ trợ việc bảo vệ các hoạt động của UPnP. Ngoài ra, cũng có khuyến cáo rằng việc bảo vệ hoạt động của UPnP được thực hiện bằng cách sử dụng dịch vụ an ninh thiết bị do Ban security working Committee UPnP quy định. Nếu được thực thi thì dịch vụ an ninh thiết bị phải được chứa bên trong thực thi thiết bị điểm truy cập WLAN hoặc trong thiết bị bao gồm thiết bị điểm truy cập WLAN. Hai mô hình này được mô tả dưới đây:

2.2.1  Mô tả các yêu cầu thiết bị

2.2.1.1  An ninh thiết bị trong thiết bị điểm truy cập WLAN

Mô hình này thích hợp với các thiết bị vật lý mà yêu cầu chức năng an ninh thiết bị (bao gồm quyền quản trị thiết bị và điều khiển truy cập) chỉ được sử dụng bởi thiết bị điểm truy cập WLAN. Trong trường hợp này, các sản phẩm cho biết các thiết bị kiểu urn:schemas-upnp-org:device:WLANAccessPointDevice:1 phải thực thi số lượng phiên bản tối thiểu của các dịch vụ quy định trong bảng dưới đây:

Bảng 1 – Các yêu cầu của thiết bị đối với thiết bị điểm truy cập WLAN độc lập

Mối quan hệ giữa các dịch vụ

Hình 3 chỉ ra cấu trúc logic của thiết bị và các dịch vụ xác định bởi nhóm công tác về công nghệ UPnP cho phép các điểm truy cập.

Hình 3- An ninh thiết bị trong thiết bị điểm truy cập WLAN

Ngoài ra, dịch vụ xác thực liên kết (tùy chọn) có thể được sử dụng nếu một điểm truy cập hỗ trợ xác thực mỗi máy trạm với máy chủ xác thực cùng vị trí. Các dịch vụ: xác thực liên kết, radius từ máy trạm và tạo cấu hình WLAN có thể phụ thuộc vào dịch vụ an ninh thiết bị nhằm cung cấp điều khiển truy cập cho các hoạt động xác định trong các dịch vụ.

2.2.1.2  An ninh thiết bị không thuộc thiết bị điểm truy cập WLAN

Mô hình này có thể áp dụng cho các thiết bị vật lý thực thi chức năng của điểm truy cập, nhưng thiết bị điểm truy cập WLAN có thể sử dụng an ninh thiết bị là một phần của thiết bị khác. Một ví dụ mà trong đó urn:schemas-upnp-org:device:WLANAccessPointDevice:1 được thực thi bên trong thiết bị kiểu urn:schemas-upnp-org:device:BasicDevice:1. Trong trường hợp này, thiết bị cơ sở chứa dịch vụ an ninh dịch vụ có thể được sử dụng bởi thiết bị UPnP khác, ví dụ IGD. Việc thực thi thiết bị điểm truy cập WLAN phải chứa số lượng phiên bản tối thiểu của các dịch vụ quy định trong bảng dưới đây:

Bảng 2 – Các yêu cầu của thiết bị đối với thiết bị điểm truy cập WLAN độc lập

Mối quan hệ giữa các dịch vụ

Hình 4 chỉ ra cấu trúc logic của thiết bị và các dịch vụ xác định bởi nhóm công tác về công nghệ UPnP cho phép các điểm truy cập có thể sử dụng dịch vụ an ninh cho các dịch vụ UPnP khác chứa trong cùng thiết bị vật lý. Ngoài ra, dịch vụ xác thực liên kết tùy chọn có thể được sử dụng nếu một điểm truy cập hỗ trợ xác thực mỗi máy trạm với máy chủ xác thực cùng vị trí. Các dịch vụ: xác thực liên kết, radius từ máy trạm và tạo cấu hình WLAN có thể phụ thuộc vào dịch vụ an ninh thiết bị nhằm cung cấp điều khiển truy cập cho các hoạt động xác định trong các dịch vụ.

Hình 4 – Ví dụ về an ninh thiết bị không dây thuộc thiết bị điểm truy cập WLAN

2.2.2  Mối quan hệ giữa các dịch vụ

Sự phụ thuộc giữa các dịch vụ được liệt kê ở điều trên theo các mô hình dịch vụ thực thi trong thiết bị điểm truy cập WLAN.

2.3  Lý thuyết vận hành

Lý thuyết hoạt động mô tả mô hình sử dụng chung của các dịch vụ xác định trong dịch vụ điểm truy cập. Điều này bắt đầu bằng cách liệt kê các yêu cầu và các tính năng tùy chọn của các nút WLAN. Tiếp theo là phần mô tả các bối cảnh khác nhau phản ánh việc sử dụng của các tính năng này. Đối với mỗi tính năng này, nêu bật các lợi ích được phép bởi các dịch vụ UPnP.

Khuyến cáo đối với AP DCP (Access protocol device control protocol – Giao thức điều khiển thiết bị điểm truy cập) sử dụng dịch vụ an ninh thiết bị để bảo vệ các hoạt động của UPnP AP cụ thể. Điều này đưa ra giả thiết nắm bắt toàn bộ các khái niệm an ninh UPnP. Tham khảo Đặc tả điều khiển dịch vụ DeviceSecurity:1 để biết thêm mô tả chi tiết về lý thuyết vận hành của thiết bị UPnP an toàn.

2.3.1  Các yêu cầu của nút WLAN

Từ khía cạnh các yêu cầu, nút WLAN đưa ra một trong hai hạng mục – điểm truy cập và máy trạm không dây (trạm) của điểm truy cập.

2.3.1.1  Các yêu cầu của AP

Các yêu cầu của điểm truy cập 802.11 được liệt kê dưới đây cùng với một số tính năng tùy chọn

– AP phải được ghi địa chỉ qua giao thức internet (Internet protocol-IP) sử dụng cả giao diện không dây và có dây. Chức năng của AP có thể cùng vị trí với bộ định tuyến/chức năng của ‘thiết bị internet gateway’(lnternet Gateway Device-IGD) và/hoặc modem cho truy cập internet.

– AP phải cung cấp cho người sử dụng khả năng thiết lập lại nó theo các cài đặt mặc định của hãng.

– AP phải hỗ trợ truy cập bảo vệ không dây (Wireless protected access – WPA) trong chế độ khóa chia sẻ trước (pre-shared key – PSK). AP Phải hỗ trợ ít nhất mười khóa.

– AP có thể thực thi dịch vụ an ninh thiết bị như đã xác định trong giao thức điều khiển thiết bị thiết bị an toàn phiên bản 1.0. Điều này bao gồm việc sử dụng cặp khóa công khai-bí mật và thư viện mật mã để xác thực và mã hóa.

– AP có thể hỗ trợ điểm truy cập 802.1x qua dịch vụ RADIUS từ máy trạm (RFC2865, IETF) sử dụng dịch vụ Radius từ máy trạm của công nghệ UPnP.

– AP có thể hỗ trợ điểm truy cập 802.1x qua dịch vụ xác thực liên kết

Không yêu cầu AP bật chế độ an ninh liên kết mặc định

2.3.1.2  Các yêu cầu của máy trạm để việc tạo cấu hình AP

Nếu việc tạo cấu hình các thông số AP được yêu cầu thì phải có ít nhất một máy trạm trong LAN trong đó có giao diện người sử dụng tương tác. Các máy trạm WLAN khác có thể là công nghệ UPnP cho phép và có thể thực hiện chức năng điểm điều khiển UPnP để gửi các hoạt động UPnP đến AP. Tất cả các máy trạm không dây được yêu cầu để có cùng cơ chế an ninh liên kết mà được sử dụng bởi AP (ví dụ 802.1x). Máy trạm WLAN phải hỗ trợ ít nhất một WEP.

2.3.2  Các kịch bản về việc giới thiệu các máy trạm WLAN cho AP

Ngoài việc tạo cấu hình các thông số AP được nêu chi tiết trong dịch vụ tạo cấu hình WLAN, AP DCP cũng cung cấp khung tổng quát chung cho việc cung cấp chứng thực với phạm vi đầy đủ để phân biệt nhà cung cấp. Các điều sau đây mô tả các kịch bản khác nhau liên quan khi máy trạm WLAN tiếp xúc với AP lần đầu tiên và vai trò của công nghệ UPnP.

2.3.3  Thiết lập điểm truy cập an toàn (nếu dịch vụ an ninh thiết bị được thực thi trong thiết bị AP)

Dịch vụ tạo cấu hình WLAN cung cấp một tập các hoạt động nhằm sửa đổi và truy vấn tập các thông số trên điểm truy cập 802.11. Các hoạt động sửa đổi các thông số trong dịch vụ nên được xác thực qua an ninh UPnP. Điểm điều khiển truy cập các hoạt động an toàn trên dịch vụ phải được xác thực vào lúc đầu qua ứng dụng bản điều khiển an ninh như đã mô tả trong giao thức điều khiển thiết bị an ninh UPnP.

Với việc khởi động AP, người sử dụng sẽ chạy ‘ứng dụng AP’(điểm điều khiển) trên máy trạm nhằm cấp phép quyền quản trị của AP như giao thức an ninh UPnP. Tham khảo Đặc tả điều khiển dịch vụ DeviceSecurity:1 xác định bởi Ban security working committee UPnP để biết thêm chi tiết về chức năng TakeOwnership. Bằng cách ‘cấp phép quyền quản trị’ máy trạm này có quyền cho phép các điểm điều khiển cụ thể để tạo cấu hình AP, ví dụ nhập các thông số an ninh, bật chế độ an ninh, chuyển đến chế độ nhắc lại v.v..

Chú ý rằng trong sự kiện ứng dụng bản điều khiển an ninh không có sẵn để bắt đầu, AP sẽ tiếp tục thực hiện chức năng theo chế độ mặc định mà không có cấu hình có thể thực hiện được qua công nghệ UPnP.

2.3.4  AP sử dụng chứng thực mạng diện rộng để xác thực

AP sử dụng chứng thực mạng diện rộng đã chia sẻ trước như đã quy định trong WPA với tất cả các máy trạm hoặc sử dụng xác thực chỉ dựa trên WEP.

2.3.4.1  Cấu hình ban đầu của AP

‘Ứng dụng AP’ lập cấu hình (các) khóa chia sẻ trong AP, và cho phép an ninh WEP hoặc WPA. Chú ý rằng nếu ‘ứng dụng AP’ là máy trạm WLAN thì phải thiết lập lại liên kết tới AP một khi an ninh liên kết được cho phép sử dụng khóa mới.

TCVN 10176-8-5:2017

Các lợi ích và giả thiết sử dụng công nghệ UPnP:

Công nghệ UPnP cung cấp sự khám phá và tạo cấu hình thiết bị AP qua giao diện lập trình đã chuẩn hóa. Với AP mà không được kích hoạt với công nghệ UPnP, người sử dụng phải nhập URL cho máy chủ web của AP và kiểu trong khóa chia sẻ. Khóa chia sẻ phải đủ dài để đảm bảo sự an toàn, nhất là khi nó được sử dụng bất kỳ lúc này để truy cập máy chủ web của AP. Ngoài ra, người sử dụng phải có kiến thức về khóa WEP hoặc WPA và nhập nó qua trình duyệt.

2.3.4.2  Đăng ký các máy trạm tiếp theo

Nếu AP sử dụng WPA PSK hoặc WEP để xác thực mạng diện rộng thì sẽ không có xác thực mỗi máy trạm, do đó không yêu cầu dịch vụ xác thực liên kết, dịch vụ radius từ máy trạm hoặc dịch vụ xác thực như là RADIUS trên WLAN. Nếu thiết bị máy trạm có một UI (user interface – Giao diện người sử dụng) thì người sử dụng sẽ nhập khóa chia sẻ (WEP hoặc WPA PSK) và có được truy cập liên kết đến AP. Nếu thiết bị máy trạm không có UI thì nó nên được lập trình trước với khóa duy nhất tạo sẵn cho người sử dụng, ví dụ: qua một nhãn trên khung. Người sử dụng sẽ nhập khóa chia sẻ này vào AP sử dụng ứng dụng điểm truy cập. Số lượng các thiết bị mà được thêm vào được giới hạn cho các khóa chia sẻ hỗ trợ bởi thiết bị AP. Trong trường hợp WEP thì số lượng là bốn và với WPA PAK thì số lượng tối thiểu là mười.

Cơ chế khác cho công nghệ UPnP kích hoạt các máy trạm cho thiết bị máy trạm được kết nối trực tiếp (ví dụ: cáp Ethernet) đến AP. Máy trạm vận hành điểm điều khiển UPnP và trích xuất khóa chia sẻ, tự tạo cấu hình và sẵn sàng kết nối với WLAN.

Các lợi ích và giả thiết sử dụng công nghệ UPnP:

Cơ chế dễ dàng nhằm thêm vào các máy trạm mới mà không có UI cho AP trong đó hỗ trợ các khóa chia sẻ của mạng diện rộng. Cơ chế khác đề cập ở trên cung cấp một cách thực hiện điều này mà người sử dụng không cần nhập khóa, giả thiết rằng máy trạm thực thi chức năng điểm điều khiển UPnP và máy trạm cung cấp giao diện có dây cho việc đăng ký ngoài khả năng không dây. Với AP mà không được kích hoạt với công nghệ UPnP, các máy trạm WLAN không có cơ chế chung để truy cập các thông số an ninh của AP.

2.3.5  AP sử dụng chứng thực cụ thể cho máy trạm để xác thực

Nếu AP thực thi cơ chế xác thực (ví dụ: 802.1x) mà sử dụng chứng thực xác nhận khác nhau cho mỗi máy trạm thì một cơ sở dữ liệu xác thực được sử dụng để lưu trữ và cập nhật các chứng thực này. Cơ sở dữ liệu xác thực có thể hoặc không thể đồng nội trú với AP. Nếu nó được duy trì trong thiết bị AP thì dịch vụ xác thực liên kết sẽ cung cấp một giao diện cho cơ sở dữ liệu này. Dịch vụ xác thực liên kết cung cấp các hoạt động nhằm kích hoạt máy trạm mới được đăng ký trong WLAN an toàn. Cơ sở dữ liệu này được tra cứu bởi hệ thống xác thực của AP để kiểm tra tính hợp lệ của máy trạm muốn thiết lập an ninh liên kết với AP. Nếu AP sử dụng máy chủ xác thực bên ngoài như là máy chủ RADIUS thì AP nên được tạo cấu hình với các địa chỉ, các gateway và các bí quyết để truy cập các máy chủ này sử dụng các hoạt động cung cấp trong dịch vụ radius từ máy trạm.

2.3.5.1  Cấu hình ban đầu của AP

Nếu AP sử dụng máy chủ xác thực bên ngoài thì ứng dụng điểm truy cập sẽ thiết lập thông tin về các máy chủ xác thực (như là các địa chỉ IP, gateway, v.v…) trong dịch vụ radius từ máy trạm qua công nghệ UPnP. Mục nhập tương ứng với máy trạm này sẽ phải được thêm vào máy chủ xác thực bên ngoài (ngoài băng thông) trước khi kích hoạt an ninh liên kết. Nếu máy chủ xác thực cùng vị trí được sử dụng thì nó có thể tạo ra mục nhập tương ứng với máy trạm này cùng với chứng thực của nó trong dịch vụ xác thực liên kết qua công nghệ UPnP, phụ thuộc vào việc thực thi điểm điều khiển.

Các lợi ích và giả thiết sử dụng công nghệ UPnP:

Máy trạm WLAN được kích hoạt cho cấu hình lập trình của giao diện không dây của AP (bao gồm việc kích hoạt an ninh liên kết trên AP), giả thiết rằng máy trạm thực thi chức năng điểm điều khiển UPnP thì máy trạm không cần giao diện có dây ngoài giao diện không dây). Với AP không kích hoạt với công nghệ UPnP, sẽ không có phương pháp dễ dàng nào để thêm vào mục nhập cho máy trạm đầu tiên hoặc các thông số liên quan đến xác thực vào trong AP.

2.3.5.2  Đăng ký các máy trạm tiếp theo

Nếu AP hỗ trợ máy chủ xác thực cùng vị trí thì ứng dụng điểm điều khiển UPnP sẽ được sử dụng cho việc đăng ký các máy trạm mới bên trong WLAN an toàn. Máy trạm mới cố gắng xác thực bằng AP không bắt buộc có giao diện người sử dụng tương tác hoặc công nghệ UPnP được kích hoạt. Giả thiết rằng máy trạm này hỗ trợ phương pháp xác thực được yêu cầu bởi AP cho an ninh liên kết (ví dụ: 802.1x). Cơ chế sử dụng dịch vụ xác thực liên kết tùy chọn và quá trình đăng ký được mô tả trong tài liệu về dịch vụ xác thực liên kết.

Nếu máy chủ xác thực nằm ngoài AP thì cơ chế ngoài băng thông (khác với công nghệ UPnP) sẽ được sử dụng để cập nhật cơ sở dữ liệu được sử dụng bởi máy chủ xác thực này, dẫn đến việc thêm vào mục nhập tương ứng với máy trạm mới.

Trong cả hai trường hợp này, giả thiết rằng máy trạm WLAN có khả năng xác thực thiết bị AP trong suốt thời gian đăng ký và xác thực tiếp theo.

Các lợi ích và giả thiết sử dụng công nghệ UPnP:

Trong trường hợp mà máy chủ xác thực cùng vị trí thì việc sử dụng dịch vụ xác thực liên kết trên AP sẽ đơn giản hóa quản trị xác thực điểm truy cập theo chuẩn 801.1x và giúp sử dụng dễ dàng hơn ở môi trường trong nhà. Máy trạm WLAN mới có thể được đăng ký trong WLAN an toàn sử dụng ứng dụng điểm điều khiển. Dịch vụ xác thực liên kết cung cấp giao diện chung cho việc sửa đổi cơ sở dữ liệu xác thực điểm điều khiển theo chuẩn 802.1x.

Khi máy chủ xác thực không cùng vị trí thì máy trạm Radius tùy chọn sẽ cung cấp các biến và các hoạt động cần thiết cho mọi chương trình nhằm tạo cấu hình cho AP với thông tin về (các) máy chủ xác thực. Giả thiết rằng có máy trạm chạy trong mạng thực thi điểm điều khiển UPnP và cung cấp giao diện người sử dụng: máy trạm WLAN mới không yêu cầu giao diện có dây ngoài giao diện không dây.

3  Mô tả thiết bị bằng XML

4  Kiểm thử

Không có các kiểm thử về ngữ nghĩa nào được xác định trong thiết bị này.

Phụ lục A

(Quy định)

Xác định điểm truy cập (nếu dịch vụ an ninh thiết bị được thực thi)

Phụ lục này quy định các quyền hạn, các mô tả sơ lược và mục nhập danh mục điều khiển truy cập (Access control list – ACL) được thực thi trong dịch vụ an ninh thiết bị có thể được sử dụng tùy chọn bởi thiết bị điểm truy cập WLAN. Điều này được sử dụng bởi bản điều khiển an ninh nhằm gán điều khiển truy cập của các hoạt động an toàn trên thiết bị AP tới các ứng dụng điểm điều khiển. Tham khảo Đặc tả dịch vụ DeviceSecurity1.0 để biết thêm chi tiết về bản điều khiển an ninh, các quyền hạn, các mô tả sơ lược và các ACL.

A.1  Các quyền hạn

Quyền hạn sau đây được xác định để cho phép điều khiển truy cập đến các hoạt động an toàn của các dịch vụ cài sẵn trong thiết bị AP. Điều này áp dụng cho các dịch vụ xác thực liên kết và máy trạm Radius nếu chúng được bao gồm trong thực thi thiết bị AP. Quyền hạn được thực thi trong định dạng XML sau đây:

Các thẻ phần tử XML Ulname, ACLEntry, FullDescription, ShortDescription và Permission được xác định trong đặc tả dịch vụ DeviceSecurity1.0

Quyền hạn xác định ở trên được trả về bởi thiết bị AP trong đối số “DefinedPermissions” của hoạt động GetDefinedPermission của an ninh thiết bị. Các nhà cung cấp có thể xác định tập các quyền hạn bổ sung cho điều khiển truy cập đến thiết bị AP. Ví dụ, họ có thể cung cấp các quyền hạn cho người quản trị và người sử dụng riêng biệt để có thêm độ chi tiết của truy cập.

Nếu dịch vụ an ninh thiết bị nằm bên trong thiết bị điểm truy cập WLAN thì nó sẽ chỉ chứa các quyền hạn xác định của thiết bị AP (đã đề cập ở trên). Đối số “DefinedPermissions” của hoạt động GetDefinedPermission được trả về bởi dịch vụ an ninh thiết bị sẽ là:

Nếu dịch vụ an ninh thiết bị không thuộc thiết bị điểm truy cập WLAN và thiết bị điểm truy cập WLAN được cài sẵn trong thiết bị bộ chứa với các thiết bị khác như là IGD, đối số “DefinedPermissions” của hoạt động GetDefinedPermission được trả về bởi dịch vụ an ninh thiết bị sẽ là:

A.2  Mô tả chi tiết

Không có một tả chi tiết nào đã quy định được sử dụng cho thiết bị AP. Tuy nhiên, các nhà cung cấp có thể tự xác định các mô tả chi tiết. Tham khảo Đặc tả dịch vụ DeviceSecurity1.0 để biết thêm chi tiết.

A.3  Mục nhập ACL

Nếu dịch vụ an ninh thiết bị được thực thi trong thiết bị UPnP AP thì thiết bị điểm truy cập WLAN sẽ có quyền hạn xác định “<APWG:APDeviceAII>” cho điều khiển truy cập. XML sau đây chỉ ra một mục nhập ACL mẫu đưa ra quyền hạn đã xác định này cho điểm truy cập quy định trong phần tử chủ thể. Giá trị chuỗi “dRDPBgZz…”thuộc thẻ <hash> biểu thị hàm băm khóa công khai của điểm điều khiển mà ACL được xác định như một ví dụ.

Phụ lục B

(Tham khảo)

Các tiêu chuẩn gốc về UPnP

Trong tiêu chuẩn này, có thể tạo ra tham chiếu đến các tiêu chuẩn gốc về UPnP. Các tham chiếu này nhằm mục đích duy trì tính nhất quán giữa các đặc tả do ISO/IEC và hiệp hội các nhà thực thi UPnP công bố. Bảng sau đây chỉ ra các tiêu đề tiêu chuẩn UPnP và phần tương ứng của TCVN 10176 (ISO/IEC 29341)

Mục lục

Lời nói đầu

1  Phạm vi áp dụng

1.1  Trọng tâm và các mục tiêu cho DCP phiên bản 1.0

1.2  Phi mục tiêu đối với DCP phiên bản 1.0

1.3  Các yêu cầu và khuyến cáo đối với an ninh WLAN

2  Xác định thiết bị

2.1  Kiểu thiết bị

2.2  Mô hình thiết bị

2.3  Lý thuyết vận hành

3  Mô tả thiết bị bằng XML

4  Kiểm thử

Phụ lục A (Quy định) Xác định điểm truy cập (nếu dịch vụ an ninh thiết bị được thực thi)

Phụ lục B (Tham khảo) Các tiêu chuẩn gốc về UPnP