Đồ án tốt nghiệp Đại học Mục lục
Các website chính 126
Danh mục hình vẽ
Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP xvi
Hình 1.2: Định tuyến khi sử dụng IP datagram xvii
Hình 1. 3: Giao thức kết nối vô hướng xviii
Hình 1.4: Cấu trúc gói tin IPv4 xviii
Hình 1.5: Hiện tượng phân mảnh trong IP xxi
Hình 1.6: Các lớp địa chỉ IPv4 xxi
Hình 1.7: Cấu trúc tiêu đề IPv6 xxii
Hình 1.8: Cấu trúc tiêu đề UDP xxiv
Hình 1.9: Cấu trúc tiêu đề TCP xxv
Hình 1.10: Thiết lập kết nối theo giao thức TCP xxvi
Hình 1.11: Thủ tục đóng kết nối TCP xxvii
Hình 1.12: Cơ chế cửa sổ trượt với kích thước cố định xxx
Hình 2.1: Các yếu tố thúc đẩy sự phát triển của thị trường IP-VPN xxxii
Hình 2.2: Truyền Tunnel trong nối mạng riêng ảo xxxv
Hình 2.3: Che đậy địa chỉ IP riêng bằng truyền Tunnel xxxvi
Hình 2.4: IP-VPN truy nhập từ xa xxxix
Hình 2.5: Intranet IP-VPN xl
Hình 2.6: Extranet IP-VPN xli
Hình 2.7: Gói dữ liệu của kết nối điều khiển PPTP xliii
Hình 2.8: Dữ liệu đường ngầm PPTP xliii
Hình 2.9: Sơ đồ đóng gói PPTP xlv
Hình 2.10: Bản tin điều khiển L2TP xlvii
Hình 2.11: Đóng bao gói tin L2TP xlvii
Hình 2.12: Sơ đồ đóng gói L2TP xlviii
Hình 3.1 Gói tin IP ở kiểu Transport liv
Hình 3.2: Gói tin IP ở kiểu Tunnel liv
Hình 3.3: Thiết bị mạng thực hiện IPSec kiểu Tunnel lv
Nguyễn Đức Cường, Lớp D2001VT
v
Đồ án tốt nghiệp Đại học Mục lục
Hình 3.4: Cấu trúc tiêu đề AH cho IPSec Datagram lvi
Hình 3.5: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport lviii
Hình 3.6: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport lix
Hình 3.7: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel lix
Hình 3.8: Xử lý đóng gói ESP lxii
Hình 3.9: Khuôn dạng gói ESP lxii
Hình 3.10: Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport lxiv
Hình 3.11: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport lxiv
Hình 3.12: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel lxv
Hình 3.13: Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau lxxi
Hình 3.14: Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau lxxi
Hình 3.15: Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau lxxi
Hình 3.16: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE lxxiii
Hình 3.17: Danh sách bí mật ACL lxxiv
Hình 3.18: IKE pha thứ nhất sử dụng chế độ chính (Main Mode) lxxv
Hình 3.19: Các tập chuyển đổi IPSec lxxviii
Hình 3.20: Ví dụ về hoạt động của IP-VPN sử dụng IPSec lxxxv
Hình 4.1: Các khái niệm chung sử dụng trong các thuật toán mật mã 89
Hình 4.2: Chế độ chính sách mã điện tử ECB 91
Hình 4.3: Thuật toán mật mã khối ở chế độ CBC 92
Hình 4.4: Sơ đồ thuật toán DES 92
Hình 4.5: Mạng Fiestel 93
Hình 4.6: Phân phối khóa trong hệ thống mật mã khóa đối xứng 94
Hình 4.7: Mật mã luồng 96
Hình 4.8: Sơ đồ mã khóa công khai 96
Hình 4.9: Một bít thay đổi trong bản tin dẫn đến 50% các bít MD thay đổi 102
Hình 4.10: Các hàm băm thông dụng MD5, SHA 103
Hình 4.11: Cấu trúc cơ bản của MD5, SHA 103
Hình 4.12: Xác thực tính toàn vẹn dựa trên mã xác thực bản tin MAC 105
Hình 4.13: Quá trình tạo mã xác thực bản tin MAC 105
Hình 4.14: Chữ ký số 107
Hình 4.15: Giao thức hỏi đáp MAC 108
Hình 4.16: Giao thức hỏi đáp sử dụng chữ ký số 110
Nguyễn Đức Cường, Lớp D2001VT
vi
Đồ án tốt nghiệp Đại học Mục lục
Hình 4.17: Mô hình tin tưởng thứ nhất (PGP Web of Trust) 111
Hình 4.18: Mô hình tin tưởng thứ hai (phân cấp tin tưởng với các CAs) 112
Hình 4.19: Cấu trúc chung của một chứng thực X.509 113
Hình 5.1: Ba mô hình IP-VPN 116
Hình 5.2: Truy nhập IP-VPN từ xa khởi tạo từ phía người sử dụng 117
Hình 5.3: Truy nhập IP-VPN khởi tạo từ máy chủ 118
Hình 5.4: IP-VPN khởi tạo từ routers 118
Hình 5.5: Các thành phần của kết nối Client-to-LAN 120
Hình 5.6: Đường ngầm IPSec Client-to-LAN 121
Hình 5.7: Phần mềm IPSec Client 122
Hình 5.8: Đường ngầm IPSec LAN-to-LAN 123
Nguyễn Đức Cường, Lớp D2001VT
vii
Đồ án tốt nghiệp Đại học Mục lục
Danh mục bảng
Bảng 3.1: Các RFC đưa ra có liên quan đến IPSec lii
Bảng 3.2: Kết quả khi kết hợp lệnh permit và deny lxxiv
Bảng 3.3: Tổng kết chương các giao thức của IPSec lxxxvii
Bảng 4.1: Một số giao thức và thuật toán ứng dụng thông dụng 88
Bảng 4.2: Thời gian bẻ khóa trong giải thuật RSSA/DSS và ECC 97
Bảng 4.3: Tóm tắt giải thuật RSA và độ phức tạp 98
Bảng 4.4: Các bước thực hiện để trao đổi khóa Diffie Hellman 99
Bảng 5.1: Ví dụ về các sản phẩm của Cisco và Netsreen 119
Nguyễn Đức Cường, Lớp D2001VT
viii
Đồ án tốt nghiệp Đại học Mục lục
Ký hiệu viết tắt
Viết tắt Chú giải tiếng Anh Chú giải tiếng Việt
3DES Triple DES Thuật toán mã 3DES
AA Acccess Accept Chấp nhận truy nhập
AAA Authentication, Authorization
and Accounting
Nhận thực, trao quyền và thanh toán
AC Access Control Điều khiển truy nhập
ACK Acknowledge Chấp nhận
ACL Acess Control List Danh sách điều khiển truy nhập
ADSL Asymmetric Digital Subscriber
Line
Công nghệ truy nhập đường dây thuê
bao số không đối xứng
AH Authentication Header Giao thức tiêu đề xác thực
ARP Address Resolution Protocol Giao thức phân giải địa chỉ
ARPA Advanced Research Project
Agency
Cục nghiên cứu các dự án tiên tiến của
Mỹ
ARPANET Advanced Research Project
Agency
Mạng viễn thông của cục nghiên cứu
dự án tiên tiến Mỹ
ATM Asynchronous Transfer Mode Phương thức truyền tải không đồng bộ
BGP Border Gateway Protocol Giao thức định tuyến cổng miền
B-ISDN Broadband-Intergrated Service
Digital Network
Mạng số tích hợp đa dịch vụ băng rộng
BOOTP Boot Protocol Giao thức khởi đầu
CA Certificate Authority Thẩm quyền chứng nhận
CBC Cipher Block Chaining Chế độ chuỗi khối mật mã
CHAP Challenge - Handshake
Authentication Protocol
Giao thức nhận thực đòi hỏi bắt tay
CR Cell Relay Công nghệ chuyển tiếp tế bào
CSU Channel Service Unit Đơn vị dịch vụ kênh
DCE Data communication Equipment Thiết bị truyền thông dữ liệu
DES Data Encryption Standard Thuật toán mã DES
DH Diffie-Hellman Giao thức trao đổi khóa Diffie-Hellman
DLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết dữ liệu
DNS Domain Name System Hệ thông tên miền
DSL Digital Subscriber Line Công nghệ đường dây thuê bao số
DSLAM DSL Access Multiplex Bộ ghép kênh DSL
DTE Data Terminal Equipment Thiết bị đầu cuối số liệu
EAP Extensible Authentication Giao thức xác thực mở rộng
Nguyễn Đức Cường, Lớp D2001VT
ix
Đồ án tốt nghiệp Đại học Mục lục
Protocol
ECB Electronic Code Book Mode Chế độ sách mã điện tử
ESP Encapsulating Sercurity Payload Giao thức đóng gói an toàn tải tin
FCS Frame Check Sequence Chuỗi kiểm tra khung
FDDI Fiber Distributed Data Interface Giao diện dữ liệu cáp quang phân tán
FPST Fast Packet Switched
Technology
Kỹ thuật chuyển mạch gói nhanh
FR Frame Relay Công nghệ chuyển tiếp khung
FTP File Transfer Protocol Giao thức truyền file
GRE Generic Routing Encapsulation Đóng gói định tuyến chung
HMAC Hashed-keyed Message
Authenticaiton Code
Mã nhận thực bản tin băm
IBM International Bussiness Machine Công ty IBM
ICMP Internet Control Message
Protocol
Giao thức bản tin điều khiển Internet
ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn
IETF Internet Engineering Task Force Cơ quan tiêu chuẩn kỹ thuật cho Internet
IKE Internet Key Exchange Giao thức trao đổi khóa
IKMP Internet Key Management
Protocol
Giao thức quản lí khóa qua Internet
IN Intelligent Network Công nghệ mạng thông minh
IP Internet Protocol Giao thức lớp Internet
IPSec IP Security Protocol Giao thức an ninh Internet
ISAKMP Internet Security Association
and Key Management Protocol
Giao thức kết hợp an ninh và quản lí
khóa qua Internet
ISDN Intergrated Service Digital
Network
Mạng số tích hợp đa dịch vụ
ISO International Standard
Organization
Tổ chức chuẩn quốc tế
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
IV Initial Vector Véc tơ khởi tạo
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2
LAN Local Area Network Mạng cục bộ
LCP Link Control Protocol Giao thức điều khiển đường truyền
MAC Message Authentication Code Mã nhận thực bản tin
MD5 Message Digest 5 Thuật toán tóm tắt bản tin MD5
Nguyễn Đức Cường, Lớp D2001VT
x
Đồ án tốt nghiệp Đại học Mục lục
MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất
NAS Network Access Server Máy chủ truy nhập mạng
NGN Next Generation Network Mạng thế hệ kế tiếp
NSA National Sercurity Agency Cơ quan an ninh quốc gia Mỹ
OSI Open System Interconnnection Kết nối hệ thống mở
OSPF Open Shortest Path First Giao thức định tuyến OSPF
PAP Password Authentication
Protocol
Giao thức nhận thực khẩu lệnh
PDU Protocol Data Unit Đơn vị dữ liệu giao thức
PKI Public Key Infrastructure Cơ sở hạn tầng khóa công cộng
POP Point - Of - Presence Điểm hiển diễn
PPP Point-to-Point Protocol Giao thức điểm tới điểm
PPTP Point-to-Point Tunneling
Protocol
Giao thức đường ngầm điểm tới điểm
PSTN Public Switched Telephone
Network
Mạng chuyển mạch thoại công cộng
RADIUS Remote Authentication Dial-in
User Service
Dịch vụ nhận thực người dùng quay số
từ xa
RARP Reverse Address Resolution
Protocol
Giao thức phân giải địa chỉ ngược
RAS Remote Access Service Dịch vụ truy nhập từ xa
RFC Request for Comment Các tài liệu về tiêu chuẩn IP do IETF
đưa ra
RIP Realtime Internet Protocol Giao thức báo hiệu thời gian thực
RSA Rivest-Shamir-Adleman Tên một quá trình mật mã bằng khóa
công cộng
SA Security Association Liên kết an ninh
SAD SA Database Cơ sở dữ liệu SA
SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1
SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản
SN Sequence Number Số thứ tự
SPI Security Parameter Index Chỉ số thông số an ninh
SS7 Signalling System No7 Hệ thống báo hiệu số 7
TCP Transmission Control Protocol Giao thức điều khiển truyền tải
TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường
TLS Transport Level Security An ninh mức truyền tải
Nguyễn Đức Cường, Lớp D2001VT
xi
Đồ án tốt nghiệp Đại học Mục lục
UDP User Data Protocol Giao thức dữ liệu người sử dụng
VPN Virtual Private Network Mạng riêng ảo
WAN Wide Area Network Mạng diện rộng
Các ký hiệu toán học
Ký hiệu Ý nghĩa
C Văn bản mật mã.
D Thuật toán giải mã.
D
K
Thuật toán giải mã với khóa K.
E Thuật toán mật mã.
E
K
Thuật toán mật mã với khóa K.
IV Vectơ khởi tạo.
K Khóa K.
KR Khóa bí mật.
KU Khóa công cộng.
L
i
, R
i
Bít bên trái và bên phải tại vòng thứ i của thuật toán mã hóa DES.
P Văn bản rõ.
LỜI NÓI ĐẦU
Cùng với xu hướng IP hóa mạng viễn thông hiện nay, vấn đề đảm bảo an ninh
cho dữ liệu khi truyền qua mạng IP là vấn đề mang tính chất tất yếu. Đối với các tổ
chức có phạm vi hoạt động rộng khắp, nhân viên luôn di chuyển trong quá trình làm
việc thì việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công
việc quản lý hoạt động của mạng luôn được đặt ra, và IP-VPN là một giải pháp hiệu
quả. Theo như dự đoán của nhiều hãng trên thế giới thì thị trường VPN sẽ là thị trường
phát triển rất mạng trong tương lai.
Thực tế thì VPN không phải là một khái niệm mới. Nó được định nghĩa là mạng
kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với
các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng. Đã có rất
nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên
khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho
vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong khi các nhà
cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu và không chắc chắn về vấn
đề an ninh của kênh riêng này.
Nguyễn Đức Cường, Lớp D2001VT
xii
Đồ án tốt nghiệp Đại học Mục lục
Với IP-VPN, các doanh nghiệp sẽ giảm được chi phí cho vận hành, duy trì quản
lý đơn giản, khả năng mở rộng tại các vùng địa lí khác nhau một cách linh hoạt và
không hạn chế. Vấn đề an toàn của số liệu khi truyền bị phụ thuộc nhiều vào các giải
pháp thực hiện IP-VPN của doanh nghiệp, ví dụ như giao thức đường ngầm sử dụng,
các thuật toán mã hóa đi kèm và độ phức tạp của các thuật toán mã hóa này…nhưng
không phụ thuộc vào kiến trúc cơ sở hạ tầng của mạng viễn thông.
Mục đích của đồ án “Công nghệ IP-VPN” là tìm hiểu những vấn đề kỹ thuật cơ
bản có liên quan đến việc thực hiện IP-VPN, nội dung cụ thể như sau:
Chương 1: Bộ giao thức TCP/IP. Chương này trình bày khái niệm của mô
hình phân lớp bộ giao thức TCP/IP. Trong đó tập trung đến 2 lớp là lớp
Internet và lớp vận chuyển. Đây là lớp giao thức nền tảng chung cho các
thiết bị trong mạng Internet, là cơ sở quan trọng cho nền tảng các mạng dựa
trên IP. Qua đấy chúng ta cũng nhận ra rằng mạng Internet nguyên thủy
hoàn toàn không hỗ trợ các dịch vụ an ninh và IP-VPN là một trong giải
pháp cho vấn đề an ninh Internet.
Chương 2: Công nghệ mạng riêng ảo trên Internet IP-VPN. Chương này
bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm của nó để có thể trở
thành một giải pháp có khả năng phát triển mạnh trên thị trường. Tiếp theo
là trình bày về các khối chức năng cơ bản của IP-VPN, phân loại mạng riêng
ảo theo cấu trúc của nó. Cuối cùng là trình bày về các giao thức đường ngầm
sử dụng cho IP-VPN. Ở đây chỉ trình bày một cách khái quát nhất về hai giao
thức đường ngầm hiện đang tồn tại và các sản phẩm tương đối phổ biến trên
thị trường là PPTP và L2TP.
Chương 3: Giao thức IPSec cho IP-VPN. Chương này trình bày các vấn đề
sau đây: thứ nhất là giới thiệu, khái niệm về giao thức IPSec và các chuẩn
RFC có liên quan. Thứ hai, trình bày vấn đề đóng gói thông tin IPSec, cụ thể
là hai giao thức đóng gói là AH (nhận thực tiêu đề) và ESP (đóng gói an toàn
tải tin). Thứ ba, trình bày về kết hợp an ninh SA và giao thức trao đổi khóa
IKE để thiết lập các chính sách và tham số cho kết hợp an ninh giữa các bên
VPN. Thứ tư, giới thiệu về các giao thức đang tồn tại ứng dụng cho IPSec,
bao gồm có: mật mã bản tin, toàn vẹn bản tin, nhận thực các bên và quản lý
khóa. Cuối cùng là một ví dụ về IP-VPN sử dụng giao thức đường ngầm
IPSec.
Chương 4: An toàn dữ liệu trong IP-VPN. Nội dung của chương này là một
số thuật toán được áp dụng để đảm bảo an toàn dữ liệu cho IP-VPN dựa trên
Nguyễn Đức Cường, Lớp D2001VT
xiii
Đồ án tốt nghiệp Đại học Mục lục
IPSec. Đối với vấn đề an toàn dữ liệu có 2 vấn đề chính đó là mật mã dữ liệu
và xác thực dữ liệu. Đối với mật mã dữ liệu, tồn tại hai thuật toán là khóa đối
xứng và khóa công khai. Ở đây đã trình bày chi tiết về thuật toán khóa đối
xứng DES và cơ sở lí thuyết của thuật toán khóa công khai. Ngoài ra, phần
này còn trình bày về trao đổi khóa Diffie-Hellman. Đối với xác thực dữ liệu
có hai vấn đề trọng tâm là xác thực nguồn gốc dữ liệu và xác thực tính toàn
vẹn của dữ liệu: thuật toán MD5/SHA-1để đảm bảo vấn đề toàn vẹn dữ liệ;
giới thiệu các phương pháp xác thực và chứng thực số để xác định nguồn gốc
dữ liệu.
Chương 5: Thực hiện VPN. Do có nhiều hãng tham gia phát triển các sản
phẩm cho IP-VPN và mỗi hãng lại có nhiều dòng sản phẩm nên thực tế có rất
nhiều mô hình thực hiện VPN. Chương này giới thiệu một số mô hình cụ thể
thực hiện IP-VPN. Phần cuối của chương giới thiệu tình hình thị trường VPN
Việt Nam.
Tôi xin chân thành cảm ơn cô giáo Ths. Nguyễn Thúy Hằng và các thầy cô giáo
trong khoa Viễn thông thuộc ọc viện công nghệ Bưu chính viễn thông đã tận tình dạy dỗ
và giúp đỡ tôi trong quá trình học tập cũng như làm đồ án này.
Hà Nội, ngày 25 tháng 10 nămg 2005
Sinh viên: Nguyễn Đức Cường
CHƯƠNG 1
BỘ GIAO THỨC TCP/IP
1.1 Khái niệm mạng Internet
Tháng 6/1968, một cơ quan của Bộ Quốc phòng Mỹ là Cục các dự án nghiên cứu
tiên tiến (Advanced Research Project Agency - viết tắt là ARPA) đã xây dựng dự án nối
kết các trung tâm nghiên cứu lớn trong toàn liên bang với mục tiêu là chia sẻ, trao đổi
tài nguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng Internet
hôm nay. Ban đầu, giao thức truyền thông được sử dụng trong mạng ARPANET là NCP
(Network Control Protocol), nhưng sau đó được thay thế bởi bộ giao thức TCP/IP
(Transfer Control Protocol/ Internet Protocol). Bộ giao thức TCP/IP gồm một tập hợp
các chuẩn của mạng, đặc tả chi tiết cách thức cho các máy tính thông tin liên lạc với nhau,
cũng như quy ước cho đấu nối liên mạng và định tuyến cho mạng.
Nguyễn Đức Cường, Lớp D2001VT
xiv
Không có nhận xét nào:
Đăng nhận xét