TRƯỜNG ĐẠI HỌC SƯ PHẠM TPHCM KHOA CÔNG NGHỆ THÔNG TIN ***** ĐỒ ÁN MƠN HỌC MẠNG MÁY TÍNH NÂNG CAO TÌM HIỂU VỀ IPSEC SVTH: Lê Văn Nhân MSSV: K39.103.152 MỤC LỤC GIỚI THIỆU TỔNG QUAN VỀ IP SEC 1.1 IP Sec gì? 1.2 Vai trò IPSEC 1.3 Những tính IPsec 1.4 Các giao thức sử dụng IPSec: 1.5 Chế độ vận hành CƠ CHẾ HOẠT ĐỘNG CỦA IP SECURITY 2.1 Internet Key Exchange - IKE 2.2 Authentication Header Encapsulation Security Payload 14 HOẠT ĐỘNG CỦA IP SEC/VPN .16 3.1 Thiết lập IKE Phase tunnel .16 3.2 Thiết lập IKE Phase tunnel .18 KẾT LUẬN 20 GIỚI THIỆU Như ta biết vấn đề bảo mật kết nối trình truyền tải liệu khác vấn đề quan trọng đặc biệt quan trọng liệu truyền qua mạng chia sẻ giống mạng internet Bài toán đặt làm để bảo mật an tồn cho liệu q trình truyền qua mạng? Làm bảo vệ chống lại cơng q trình truyền tải liệu đó? Sau tìm hiểu bảo mật liệu qua mạng việc sử dụng IPSec TỔNG QUAN VỀ IP SEC 1.1 IP Sec gì? IP Sercurity hay gọi IPSec dựa tảng chuẩn cung cấp khoá cho phép bảo mật hai thiết bị mạng ngang hàng Hay nói cách khác tập hợp chuẩn, nguyên tắc định nghĩa để kiểm tra, xác thực mã hóa gói liệu IP để cung cấp cho kênh truyền dẫn mạng bảo mật Thuật ngữ Internet Protocol Security (IPSec) Nó có quan hệ tới số giao thức (AH, ESP, FIP-140-1, số chuẩn khác) phát triển Internet Engineering Task Force (IETF) Mục đích việc phát triển IPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI, hình vẽ: Mọi giao tiếp mạng sở IP dựa giao thức IP Do đó, chế bảo mật cao tích hợp với giao thức IP, tồn mạng bảo mật giao tiếp qua tầng (Đó lý IPSec phát triển giao thức tầng thay tầng 2).Các giao thức bảo mật Internet khác SSL, TLS SSH, thực từ tầng transport layer trở lên (Từ tầng tới tầng mơ hình OSI) Điều tạo tính mềm dẻo cho IPSec, giao thức hoạt động từ tầng 4với TCP, UDP, hầu hết giao thức sử dụng tầng IPsec có tính cao cấp SSL phương thức khác hoạt động tầng mơ hình OSI Với ứng dụng sử dụng IPsec mã (code) không bị thay đổi, ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mơ hình OSI đoạn mã ứng dụng bị thay đổi lớn Ngồi ra, với IPSec tất ứng dụng chạy tầng ứng dụng mơ hình OSI độc lập tầng định tuyến liệu từ nguồn đến đích Bởi IPSec tích hợp chặt chẽ với IP, nên ứng dụng dùng dịch vụ kế thừa tính bảo mật mà khơng cần phải có thay đổi lớn Cũng giống IP, IPSec suốt với người dùng cuối, người mà không cần quan tâm đến chế bảo mật mở rộng liên tục đằng sau chuỗi hoạt động 1.2 Vai trò IPSEC o Cho phép xác thực hai chiều, trước trình truyền tải liệu o Mã hóa đường truyền máy tính gửi qua mạng o Bảo vệ gói liệu IP phịng ngự cơng mạng không bảo mật o IPSec bảo vệ lưu lượng mạng việc sử dụng mã hóa đánh dấu liệu o Một sách IPSec cho phép định nghĩa loại lưu lượng mà IPSec kiểm tra cách lưu lượng bảo mật mã hóa 1.3 Những tính IPsec o Tính xác nhận Tính nguyên vẹn liệu (Authentication and data integrity): IPSec cung cấp chế mạnh mẽ để xác nhận tính chất xác thực người gửi kiểm chứng sửa đổi khơng bảo vệ trước nội dung gói liệu người nhận Các giao thức IPSec đưa khả bảo vệ mạnh để chống lại dạng công giả mạo, đánh từ chối dịch vụ o Sự cẩn mật (Confidentiality): Các giao thức IPSec mã hóa liệu cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập liệu đường IPSec dùng chế tạo hầm để ẩn địa IP nút nguồn (người gửi) nút đích (người nhận) từ kẻ nghe o Quản lý khóa (Key management) IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bảo mật thuật tốn mã hóa trước suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối kiểm tra khóa mã cập nhật khóa yêu cầu o Hai tính IPSec, authentication and data integrity, confidentiality, cung cấp hai giao thức giao thức IPSec Những giao thức bao gồm Authentication Header (AH) EncapsulatingSecurityPayload(ESP) o Tính thứ ba, key management, nằm giao thức khác, IPSec chấp nhận dịch vụ quản lý khóa mạnh Giao thức IKE 1.4 Các giao thức sử dụng IPSec:  IP Security Protocol (IPSec)  Authentication Header (AH): cung cấp tính tồn vẹn phi kết nối chứng thực nguồn gốc liệu cho gói liệu IP bảo vệ chống lại công replay  Encapsulation Security Protocol (ESP): cung cấp tính bảo mật, chứng thực nguồn gốc liệu, tính tồn vẹn phi kết nối dịch vụ chống replay  Message Encryption  Data Encryption Standard (DES): Được phát triển IBM DES sử dụng khóa 56-bít, đảm bảo hiệu mã hóa cao DES hệ thống mã hóa khóa đối xứng  Triple DES (3DES): biến thể DES 56-bít Hoạt động tương tự DES, liệu chia thành khối 64 bít 3DES thực thi khối ba lần, lần với khóa 56 bít độc lập 3DES cung cấp sức mạnh khóa đáng kể so với DES  Message Integrity (Hash) Functions  Hash-based Message Authentication Code (HMAC) : thuật tốn tồn vẹn liệu đảm bảo tính tồn vẹn tin Tại đầu cuối, tin khóa chia sẻ bí mật gửi thơng qua thuật tốn băm, tạo giá trị băm Bản tin giá trị băm gửi qua mạng Hai dạng phổ biến thuật toán HMAC sau: o Message Digest (MD5): hàm băm để mã hóa với giá trị băm 128 bít MD5 biến đổi thơng điệp có chiều dài thành khối có kích thước cố định 128 bít Thơng điệp đưa vào cắt thành khối 512 bít, thơng điệp sau độn cho chiều dài chia chẵn cho 512 o Secure Hash Algorithm-1,2 (SHA-1,2): Sử dụng khóa 160 bít, 224 bít…  Peer Authentication  Rivest, Shamir, and Adelman (RSA) Digital Signutures: hệ thống mật mã khóa bất đối xứng Nó sử dụng chiều dài khóa 512 bít, 768 bít, 1024 bít lớn IPsec khơng sử dụng RSA để mã hóa liệu Chỉ sử dụng RSA để mã hóa giai đoạn xác thực ngang hàng  RSA Encrypted Nonces  Key Management  Diffie-Hellman (D-H)  Certificate Authority (CA)  Security Association  Internet Exchange Key (IKE): IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bảo mật thuật toán mã hóa trước suốt phiên giao dịch  Internet Security Association and Key Management Protocol (ISAKMP) 1.5 Chế độ vận hành  IPsec hoạt động theo chế độ chuyển giao(transport mode) từ máy chủ đến máy chủ khác chế độ đường hầm (tunnel mode) mạng  Chế độ chuyển giao(transport mode): có trọng tải (dữ liệu truyền) gói tin IP mã hóa và/hoặc chứng thực Trong trình Routing IP header khơng bị chỉnh sửa hay mã hóa Transport mode sử dụng tình giao tiếp host to host  Chế độ đường hầm (tunnel mode): Trong chế độ tunnel, tồn gói tin IP mã hóa chứng thực Sau đóng gói vào gói tin IP với tiêu đề IP Chế độ tunnel sử dụng để tạo Virtual Private Network (mạng riêng ảo) phục vụ cho việc liên lạc mạng, liên lạc máy chủ mạng (ví dụ truy cập người sử dụng từ xa), máy chủ CƠ CHẾ HOẠT ĐỘNG CỦA IP SECURITY 2.1 Internet Key Exchange - IKE – Cơ chế hoạt động IKE :  Như nói trên, giao thức IKE có chức trao đổi key thiết bị tham gia VPN trao đổi sách an ninh thiết bị  Nếu khơng có giao thức người quản trị phải cấu hình thủ cơng, sách an ninh thiết bị gọi SA (Security Associate) Do thiết bị q trình IKE trao đổi với tất SA mà có Các thiết bị tự tìm cho SA phù hợp với đối tác  Những key trao đổi trình IKE mã hóa key thay đổi theo thời gian (Generate Key) để tránh tình trạng BruteForce Attacker – Các giai đoạn hoạt động IKE bao gồm : 2.1.1 IKE Phases – Giai đoạn I II hai giai đoạn tạo nên phiên làm việc dựa IKE, hình bên trình bày số đặc điểm chung hai giai đoạn Trong phiên làm việc IKE, giả sử có kênh bảo mật thiết lập sẵn Kênh bảo mật phải thiết lập trước có thỏa thuận xảy  IKE Phases – Bắt buộc xảy trình IKE : – Giai đoạn I IKE xác nhận điểm thơng tin, sau thiết lập kênh bảo mật cho thiết lạp SA – Tiếp đó, bên thông tin thỏa thuận ISAKMP SA đồng ý lẫn nhau, bao gồm thuật tốn mã hóa, hàm băm, phương pháp xác nhận bảo vệ mã khóa – Sau chế mã hóa hàm băm đồng ý trên, khóa chi bí mật phát sinh Theo sau thơng tin dùng để phát sinh khóa bí mật :  Giá trị Diffie-Hellman  SPI ISAKMP SA dạng cookies  Số ngẩu nhiên known as nonces (used for signing purposes)  Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa Public Key, chúng cần trao đổi IDs Sau trao đổi thông tin cần thiết, hai bên phát sinh key riêng sử dụng chúng để chia bí mật Theo cách này, khóa mã hóa phát sinh mà khơng cần thực trao đổi khóa thơng qua mạng  IKE Phases – Bắt buộc xảy trình IKE : – Trong giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải việc thiết lập SAs cho IP Sec Trong giai đoạn này, SAs dùng nhiều dịch vụ khác thỏa thuận Cơ chế xác nhận, hàm băm, thuật toán mã hóa bảo vệ gói liệu IP Sec (sử dụng AH ESP) hình thức phần giai đoạn SA – Sự thỏa thuận giai đoạn xảy thường xuyên giai đoạn I Điển hình, thỏa thuận lặp lại sau 4-5 phút Sự thay đổi thường xuyên mã khóa ngăn cản hacker bẻ gãy khóa sau nội dung gói liệu – Tổng quát, phiên làm việc giai đoạn II tương đương với phiên làm việc đơn giai đoạn I Tuy nhiên, nhiều thay đổi giai đoạn II hổ trợ trường hợp đơn giai đoạn I Điều làm qua trình giao dịch chậm chạp IKE tỏ tương đối nhanh 2.1.2 IKE Modes – Có chế độ IKE phổ biến thường triển khai :  Chế độ – Main mode (thuộc giai đoạn I)  Chế độ linh hoạt – Aggressive mode (thuộc giai đoạn I)  Chế độ nhanh – Quick mode (thuộc giai đoạn II)  Chế độ nhóm – New Group mode (thực sau giai đoạn I, khơng thuộc giai đoạn II – Ngồi chế độ IKE phổ biến trên, cịn có thêm Informational mode Chế độ kết hợp với trình thay đổ giai đoạn II SAs Chế độ cung cấp cho bên có liên quan số thơng tin thêm, xuất phát từ thất bại trình thỏa thuận Ví dụ, việc giải mã thất bại người nhận chữ ký không xác minh thành công, Informational mode dùng để thông báo cho bên khác biết  Main Mode : – Main mode xác nhận bảo vệ tính đồng bên có liên quan qua trình giao dịch Trong chế độ này, thông điệp trao đổi điểm :  thông điệp dùng để thỏa thuận sách bảo mật cho thay đổi  thông điệp phục vụ để thay đổi khóa Diffie-Hellman nonces Những khóa sau thực vai tro quan trọng chế mã hóa  Hai thơng điệp cuối chế độ dùng để xác nhận bên giao dịch với giúp đỡ chữ ký, hàm băm, tuỳ chọn với chứng nhận  Aggressive Mode : – Aggressive mode chất giống Main mode Chỉ khác thay main mode có thơng điệp chết độ có thơng điệp trao đổi Do đó, Aggressive mode nhanh mai mode Các thơng điệp bao gồm :  Thơng điệp dùng để đưa sách bảo mật, pass data cho khóa chính, trao đổi nonces cho việc ký xác minh  Thông điệp hồi đáp lại cho thông tin Nó xác thực người nhận hồn thành sách bảo mật khóa  Thơng điệp cuối dùng để xác nhận người gửi (hoặc khởi tạo phiên làm việc)  Quick Mode : – Chế độ thứ ba IKE, Quick mode, chế độ giai đoạn II Nó dùng để thỏa thuận SA cho dịch vụ bảo mật IP Sec Ngồi ra, Quick mode phát sinh khóa Nếu sách Perfect Forward Secrecy (PFS) thỏa thuận giai đoạn I, thay đổi hoàn toàn DiffieHellman key khởi tạo Mặt khác, khóa phát sinh giá trị băm :  New Group Mode : – New Group mode dùng để thỏa thuận private group nhằm tạo điều kiện trao đổi Diffie-Hellman key dễ dàng Hình 6-18 mơ tả New Group mode Mặc dù chế độ thực sau giai đoạn I, khơng thuộc giai đoạn II 2.2 Authentication Header Encapsulation Security Payload – Đây hình minh họa việc đóng gói dự liệu protocol ESP AH Trên gói liệu nguyên thủy bao gồm Data IP Header – Nếu sử dụng giao thức ESP : Thì giao thức ESP làm cơng việc mã hóa (Encryption ), xác thực (Authentication ), bảo đảm tính trọn vẹn liệu (Securing of data) Sau đóng gói xong ESP thơng tin mã hóa giải mã nằm ESP Header.Các thuật tốn mã hóa bao gồm DES , 3DES , AES Các thuật toán để xác thực bao gồm MD5 SHA-1 ESP cung cấp tính anti-relay để bảo vệ gói tin bị ghi đè lên – Nếu sử dụng giao thức AH : Thì giao thức AH làm cơng việc xác thực (Authentication ) bảo đảm tính trọn vẹn dự liệu Giao thức AH khơng có chức mã hóa dự liệu Do AH dùng IP Sec khơng đãm bảo tính an ninh – Lưu ý q trình xác thực mã hóa ESP AH diễn sau trình IKE hịan thành 2.2.1 Authentication Header – AH Cơ chế xác thực giao thức AH : – Bước thứ : Giao thức AH đem gói liệu (Packet ) bao gồm Payload + IP Header + Key cho chạy qua giải thuật gọi giải thuật Hash cho chuỗi số Đây giải thuật chiều, nghĩa từ gói liệu + key = chuỗi số Nhưng từ chuỗi số Hash = liệu + key Và chuỗi số đuợc gán vào AH header – Bước thứ : AH Header chèn vào Payload IP Header chuyển sang phía bên Đương nhiên ta nhớ cho việc truyền tải gói dự liệu chạy tunel mà trước q trình IKE sau trao đổi khóa tạo – Bước thứ : Router đích sau nhận gói tin bao gồm IP Header + AH Header + Payload chạy qua giải thuật Hash lần chuỗi số – Bước thứ : So sánh chuỗi số vừa tạo chuỗi số giống chấp nhận gói tin Nếu q trình truyền gói liệu Attacker Sniff nói tin chỉnh sửa dẫn đến việc gói tin bị thay đổi kích cỡ, nội dung qua q trình Hash cho chuỗi số khác chuỗi số ban đầu mà Router đích có Do gói tin bị Drop Thuật tốn hash bao gồm MD5 SHA-1 Trong trừong hợp IP Sec chạy chế độ Trasports Mode 2.2.2 Encapsulation Security Payload – ESP : Cơ chế mã hóa gói liệu giao thức ESP : – ESP giao thức hỗ trợ xác thực mã hóa Phía gói liệu ban đầu ESP dùng key để mã hóa tồn liệu ban đầu Trường hợp này, IP Sec chạy chế độ Tunel Mode nên ESP Header sinh IP Header khơng bị mã hóa để truyền mạng Internet HOẠT ĐỘNG CỦA IP SEC/VPN Mơ hình site-to-site VPN Với mơ hình này, VPN peer cịn gọi VPN gateway router trở thành IPsec peer với tạo IPsec tunnel qua mạng Internet Sau R1 cấu hình để mã hóa bảo vệ traffic từ mạng 10.0.0.0/24 đến 172.16.0.0/24, R1 chờ đợi cho traffic đến Nếu traffic đến R1 có source 10.0.0.0/24 đến 172.16.0.0/24 (ví dụ: user truy cập vào server) R1 biết cần phải mã hóa bảo vệ traffic trước gửi Tuy nhiên, router chưa thiết lập VPN tunnel nào, nên R1 trước hết phải tiến hành thương lượng với R2 Trong trường hợp này, R1 thiết bị khởi tạo VPN 3.1 Thiết lập IKE Phase tunnel 3.1.1 Thương lượng IKE Phase policy Trước tiên router thương lượng Internet Key Exchange (IKE) Phase tunnel Q trình thực Main mode Aggressive mode Main mode sử dụng nhiều gói tin Aggressive mode, đánh giá an toàn Hầu hết VPN mặc định sử dụng Main mode IKE Phase tunnel dùng để router trao đổi trực tiếp với Tunnel không dùng để forward gói tin user, mà dùng để bảo vệ management traffic liên quan đến VPN router Ví dụ keepalive message dùng để kiểm tra VPN tunnel hoạt động traffic mà router gửi qua IKE Phase tunnel Vì R1 router nhận traffic cần phải mã hóa, IKE Phase tunnel chưa thiết lập, nên R1 router khởi tạo việc thương lượng R1 gửi tất tham số cấu hình/mặc định mà muốn sử dụng cho IKE Phase tunnel Để IKE Phase tunnel thiết lập thành cơng có thứ (gọi chung IKE Phase policy) mà VPN gateway phải đồng ý với nhau: o Thuật tốn hash: Có thể MD5 SHA o Thuật tốn mã hóa: Có thể DES, 3DES, AES với chiều dài key khác (key dài tốt) o Diffie-Hellman (DH) group: DH group cho biết modulus size (chiều dài key) dùng cho trình trao đổi key Group dùng 768 bit, group dùng 1024 bit, group dùng 1536 bit Mục đích DH tạo shared secret number ZZ, từ ZZ chuyển đổi sang keying material Keying material dùng làm key-encryption key (KEK) để mã hóa content-encryption key (CEK), với CEK key đối xứng dùng để mã hóa traffic o Kiểu chứng thực: Dùng để kiểm tra định danh VPN peer phía bên tunnel Có thể sử dụng pre-shared key (PSK) chữ ký số RSA o Lifetime: Sau IKE Phase tunnel bị hủy bỏ Mặc định ngày, hay 86400s Đây tham số mà khơng cần phải giống xác VPN peers Nếu tất tham số khác giống lifetime khác VPN peers dùng lifetime nhỏ (ví dụ: R1 đề nghị lifetime ngày, R2 đề nghị nửa ngày R1 R2 đồng ý dùng lifetime nửa ngày) Lifetime ngắn xem an toàn hơn, attacker khơng có nhiều thời gian để tìm key dùng tunnel 3.1.2 Trao đổi key Sau đồng ý với IKE Phase policy VPN peer, thiết bị tiến hành trao đổi key thuật toán DH (DH key exchange) Chúng sử dụng DH group đồng ý với trình thương lượng, kết thúc trình trao đổi key chúng có shared secret keying material dùng cho thuật toán đối xứng (như AES) 3.1.3 Chứng thực VPN peer Bước cuối IKE Phase chứng thực VPN peer phía bên Các VPN gateway chứng thực lẫn phương pháp mà chúng đồng ý bước (PSK chữ ký số RSA) Nếu chứng thực thành cơng IKE Phase tunnel thiết lập VPN gateway Tunnel có tính chất chiều (bidirectional) VPN peers sử dụng session key để mã hóa giải mã inbound outbound traffic 3.2 Thiết lập IKE Phase tunnel o IKE Phase tunnel management tunnel cho phép router trao đổi trực tiếp với cách an tồn IKE Phase tunnel khơng dùng để mã hóa bảo vệ gói tin user Để làm việc VPN gateway tạo tunnel khác dành riêng cho việc mã hóa gói tin user Tunnel gọi IKE Phase tunnel, hay IPsec tunnel o router, với IKE Phase tunnel thiết lập, tận dụng IKE Phase tunnel để thương lượng cách an toàn thiết lập IKE Phase tunnel IKE Phase policy (bao gồm mã hóa, hash) cịn gọi transform set Mã hóa hash IKE Phase dùng cho traffic user, mã hóa hash IKE Phase dùng cho management traffic VPN mà router thương lượng trao đổi trực tiếp với o Ở Phase 2, ngồi transform set router cịn thương lượng mode sử dụng (tunnel mode hay transport mode) có sử dụng PFS hay khơng (PFS viết tắt Perfect Forward Secrecy PFS cho phép router chạy lại thuật toán DH để tạo shared secret number ZZ khác, thay dùng lại giá trị ZZ tạo từ DH Phase 1) o Dưới cách đóng gói gói tin sử dụng mode khác (tunnel/transport) giao thức khác (AH/ESP): Chú ý: Vì AH khơng hỗ trợ mã hóa nên sử dụng o Tương tự IKE Phase 1, lifetime IKE Phase không thiết phải giống hoàn toàn VPN peers Nếu lifetime IKE Phase khác VPN peers sử dụng lifetime nhỏ o Toàn trao đổi thương lượng IKE Phase tunnel thực cách an tồn IKE Phase tunnel bảo vệ traffic Tên mode dùng để thiết lập IKE Phase tunnel Quick mode o Sau IKE Phase tunnel thiết lập xong router tiến hành mã hóa traffic user gửi traffic đến cho VPN peer phía bên Từ Internet nhìn vào thấy gói tin có source IP R1 destination IP R2 Tồn gói tin gốc (bao gồm source IP, destination IP nội dung user gửi cho server) mã hóa đóng gói bên gói tin o Chỉ có IP header (với source IP R1, destination IP R2) ESP header dạng plain text, cịn tồn nội dung gói tin ban đầu mã hóa ESP giao thức Layer có protocol ID = 50f o Khi R2 nhận gói tin IPsec, R2 de-encapsulate, thấy ESP R2 dùng secret key để giải mã phần bên Sau giải mã xong, R2 forward gói tin ban đầu (plain text) đến cho server KẾT LUẬN Như chuẩn, IP Sec nhanh chóng trở thành phương pháp đánh giá cao để bảo mật thông tin mạng TCP/IP Được thiết kế để hỗ trợ nhiều lược đồ mã hóa thực tính tương giao nhiều người IP Sec thay đổi để thích hợp với yêu cầu bảo mật tổ chức lớn hay nhỏ Các công nghiệp liên quan tới liên mạng để liên lạc với đối tác làm ăn có lợi nhờ vào lược đồ xác thực mã hóa mềm dẻo IP Sec để hỗ trợ nhân viên làm việc từ xa, nhân viên hay cơng tác văn phịng chi nhánh truy nhập vào công ty qua internet IPSec thiết kế với dự kiến tương lai nhận ủng hộ xứng đáng từ cộng đồng tin học người làm công tác bảo mật Những đánh giá gần nhà sản xuất lớn Cisco Systems việc thiết lập chương trình chứng thực hợp tác thơng qua Hiệp hội an tồn máy tính giới dấu hiệu rõ rang phát triển đường trở thành chuẩn công nghiệp cho truyền thông giao dịch thương mại kỉ 21