TRƯỜNG ĐẠI HỌC VINH KHOA ĐIỆN TỬ- VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: CÔNG NGHỆ IP-VPN Sinh viên thực : NGUYỄN ĐÌNH VỆ Lớp : 47K-ĐTVT Giảng viên hướng dẫn : TS NGUYỄN THỊ QUỲNH HOA Vinh, - 2011 LỜI NÓI ĐẦU Cùng với xu toàn cầu hóa, mở rộng giao lưu hợp tác quốc tế ngày tăng, quan hệ hợp tác kinh doanh không dừng lại phạm vi huyện, tỉnh, nước mà mở rộng toàn giới Một công ty có chi nhánh, có đối tác kinh doanh nhiều quốc gia họ có nhu cầu trao đổi thông tin với Để bảo đảm bí mật thông tin trao đổi theo cách truyền thống người ta dùng kênh thuê riêng, nhược điểm đắt tiền, gây lãng phí tài nguyên liêu trao đổi không nhiều không thường xuyên Vì người ta nghiên cứu công nghệ khác đáp ứng nhu cầu trao đổi thông tin đỡ tốn thuận tiện hơn, giải pháp mạng riêng ảo VPN định nghĩa mạng kết nối site khách hàng đảm bảo an ninh sở hạ tầng mạng chung với sách điều khiển truy nhập đảm bảo an ninh mạng riêng Đã có nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên thực giải pháp chi phí lớn để mua sắm thiết bị, chi phí cho vận hành, trì, quản lý lớn doanh nghiệp phải gánh chịu nhà cung cấp dịch vụ đảm bảo kênh riêng cho số liệu không chắn vấn đề an ninh kênh riêng Các tổ chức, doanh nghiệp sử dụng dịch vụ IP VPN tiết kiệm nhiều chi phí việc muốn kết nối chi nhánh văn phòng với nhau, truy cập từ xa vào mạng nội bộ, gọi điện thoại VoIP, với độ bảo mật cao Hiện ADSL trở nên phổ biến, chi phí thấp, nên việc thực IP VPN trở nên đơn giản, hiệu tận dụng đường truyền Internet tốc độ cao Tính tương thích IP VPN cao phổ biến nó, nên bạn kết hợp nhiều thiết bị sản phẩm thương hiệu khác Trên sở đó, định chọn hướng nghiên cứu đ án công nghệ IP-VPN Mục đích đồ án tìm hiểu vấn đề kỹ thuật có liên quan đến việc thực IP-VPN Bố cục đồ án gồm chương: - Chương trình bày giao thức TCP/IP Chương trình bày khái quát giao thức TCP/IP - Chương khái quát công nghệ mạng riêng ảo Internet IP-VPN Chương trình bày khái niệm VPN, bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm trở thành giải pháp có khả phát triển mạnh thị trường Tiếp theo trình bày khối chức IP-VPN, phân loại mạng riêng ảo theo cấu trúc Cuối trình bày giao thức đường ngầm sử dụng cho IP-VPN - Chương nói giao thức IPSec cho IP-VPN Chương trình bày vấn đề giao thức IPSec Bộ giao thức rấ quan trọng IPSec dung cho IP - VPN để đảm bảo tính toàn vẹn liệu, tính quán, tính bí mật xác thực truyền liệu hạ tầng mạng công cộng - Chương trình bày An toàn liệu IP-VPN Trình bày số thuật toán áp dụng để đảm bảo an toàn liệu cho IP-VPN dựa IPSec - Chương trình bày phương pháp thực IP – VPN sử dụng Em xin gửi lời cảm ơn chân thành đến Trường Đại học Vinh, thầy cô Khoa Công Nghệ tạo điều kiện giúp đỡ em trình học tập nghiên cứu Và đặc biệt em xin bày tỏ lòng kính trọng biết ơn sâu sắc đến TS Nguyễn Thị Quỳnh Hoa, người tận tình hướng dẫn bảo em trình nghiên cứu, xây dựng hoàn thành đồ án Mặc dù nhận nhiều giúp đỡ cô giáo hướng dẫn, thầy cô giáo khoa Điện Tử-Viễn Thông cố gắng thân đồ án không tránh khỏi sai sót mong nhận đóng góp nhiều ý kiến từ phía thầy cô ban bè người quan tâm đến lĩnh vực Sinh viên: Nguyễn Đình Vệ Tóm Tắt Đồ Án Công nghệ mạng riêng ảo IP-VPN cho phép tận dụng môi trường mạng công cộng Internet để xây dựng mạng riêng đảm bảo an ninh Với ưu điểm mặt giá thành, phạm vi hoạt động không hạn chế, linh hoạt triển khai mở rộng, VPN công nghệ hứa hẹn triển vọng thị trường lớn Đồ án sâu tìm hiểu vấn đề kỹ thuật mô hình thực công nghệ IP-VPN Trong đó, đường ngầm tảng IP-VPN, phạm vi đồ án trình bày giao thức đường ngầm: PPTP, L2TP IPSec PPTP L2TP giao thức đường ngầm phát triển dựa giao thức PPP Hai giao thức chuẩn hoàn thiện sản phẩm hỗ trợ chúng tương đối phổ biến Đối với ứng dụng yêu cầu an toàn liệu cao IPSec giao thức thích hợp IPSec hỗ trợ phương pháp xác thực mật mã mạnh nhất, có tính linh hoạt cao không bị ràng buộc phương pháp xác thực mật mã Đây xem giao thức tối ưu cho IP-VPN tìm hiểu cách chi tiết VPN technology allows the environmental advantage of public Internet networks to build their own network security With these advantages in terms of cost, scope is not limited flexibility in the deployment and expansion, VPN is a technology that promises a huge potential market This project has deep understanding of technical issues and implementation model of IP-VPN technology In particular, the tunnel is the foundation of the IP-VPN, the scope of this project presented the tunnel protocols: PPTP, L2TP and IPSec PPTP and L2TP tunneling protocols are being developed based on PPP Two standard protocols are completed and the products they support are relatively common For applications requiring higher data security, the IPSec protocol is appropriate IPSec supports authentication methods and the strongest encryption, with high flexibility by not being bound by an authentication method as well as passwords This is considered the optimal protocol for IPVPN and is explored in detail the most Chương Bộ giao thức TCP/IP 1.1 Khái niệm mạng Internet Tháng 6/1968, quan Bộ Quốc phòng Mỹ Cục dự án nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt ARPA) xây dựng dự án nối kết trung tâm nghiên cứu lớn toàn liên bang với mục tiêu chia sẻ, trao đổi tài nguyên thông tin, đánh dấu đời ARPANET - tiền thân mạng Internet hôm Ban đầu, giao thức truyền thông sử dụng mạng ARPANET NCP, sau thay giao thức TCP/IP Bộ giao thức TCP/IP gồm tập hợp chuẩn mạng, đặc tả chi tiết cách thức cho máy tính thông tin liên lạc với nhau, quy ước cho đấu nối liên mạng định tuyến cho mạng Trước đây, người ta định nghĩa “Internet mạng tất mạng sử dụng giao thức IP” Nhưng nay, điều không xác nhiều mạng có kiến trúc khác nhờ cầu nối giao thức nên kết nối vào Internet sử dụng đầy đủ dịch vụ Internet Internet không tập hợp mạng liên kết với nhau, Internetworking có nghĩa mạng liên kết với sở đồng ý với quy ước mà cho phép máy tính liên lạc với nhau, cho dù đường liên lạc qua mạng mà chúng không đấu nối trực tiếp tới Như vây, kỹ thuật Internet che dấu chi tiết phần cứng mạng, cho phép hệ thống máy tính trao đổi thông tin độc lập với liên kết mạng vật lý chúng TCP/IP có đặc điểm sau làm cho trở nên phổ biến: - Độc lập với kiến trúc mạng: TCP/IP sử dụng kiến trúc Ethernet, Token Ring, mạng cục LAN mạng diện rộng WAN - Chuẩn giao thức mở: TCP/IP thực phần cứng hay hệ điều hành Do đó, TCP/IP tập giao thức lý tưởng để kết hợp phần cứng phần mềm khác - Sơ đồ địa toàn cầu: máy tính mạng TCP/IP có địa xác định Mỗi gói liệu gửi mạng TCP/IP có Header gồm địa máy đích địa máy nguồn - Khung Client - Server: TCP/IP khung cho ứng dụng client server mạnh hoạt động mạng cục mạng diện rộng - Chuẩn giao thức ứng dụng: TCP/IP không cung cấp cho người lập trình phương thức truyền liệu mạng ứng dụng mà cung cấp nhiều phương thức mức ứng dụng (những giao thức thực chức dùng E-mail, truyền nhận file) [1] 1.2 Mô hình phân lớp giao thức TCP/IP Bộ giao thức TCP/IP kết hợp giao thức khác lớp khác nhau, giao thức TCP IP Mỗi lớp có chức riêng Mô hình TCP/IP tổ chức thành lớp (theo cách nhìn từ phía ứng dụng xuống lớp vật lý) sau: Hình 1.1 Mô hình phân lớp giao thức TCP/IP  Lớp ứng dụng (Application layer): Điều khiển chi tiết ứng dụng cụ thể Nó tương ứng với lớp ứng dụng, trình diễn mô hình OSI Nó gồm giao thức mức cao, mã hóa, điều khiển hội thoại … Các dịch vụ ứng dụng SMTP, FTP, TFTP … Hiện có hàng trăm chí hàng nghìn giao thức thuộc lớp Các chương trình ứng dụng giao tiếp với giao thức lớp vận chuyển để truyền nhận liệu Chương trình ứng dụng truyền liệu dạng yêu cầu đến lớp vận chuyển để xử lý trước chuyển xuống lớp Internet để tìm đường  Lớp vận chuyển (Transport layer): Chịu trách nhiệm truyền thông điệp (message) từ số tiến trình (một chương trình chạy) tới tiến trình khác Lớp vận chuyển đảm bảo thông tin truyền đến nơi nhận không bị lỗi theo trật tự Nó có giao thức khác giao thức điều khiển truyền dẫn TCP giao thức liệu đồ người sử dụng UDP  Lớp Internet (Internet layer): Cung cấp chức đánh địa chỉ, độc lập phần cứng mà nhờ liệu di chuyển mạng có kiến trúc vật lý khác Lớp điều khiển việc chuyển gói qua mạng, định tuyến gói (Hỗ trợ giao thức liên IP - khái niệm liên mạng nói tới mạng lớn hơn: mạng liên kết mạng LAN) Các giao thức lớp IP, ICMP, ARP, RARP  Lớp truy cập mạng (Network Access Network): Cung cấp giao tiếp với mạng vật lý Thông thường lớp bao gồm driver thiết bị hệ thống vận hành card giao diện mạng tương ứng máy tính Lớp thực nhiệm vụ điều khiển tất chi tiết phần cứng thực giao tiếp vật lý với cáp với môi trường sử dụng Cung cấp kiểm soát lỗi liệu phân bố mạng vật lý Lớp không định nghĩa giao thức riêng cả, hỗ trợ tất giao thức chuẩn độc quyền Ví dụ: Ethernet, Tocken Ring, FDDI, X.25, wireless, Async, ATM, SNA [1]… 1.3 Các giao thức mô hình TCP/IP 1.3.1 Giao thức Internet 1.3.1.1 Giới thiệu chung Mục đích giao thức Internet chuyển thông tin từ nguồn tới đích IP sử dụng gói tin liệu đồ (datagram) Mỗi datagram có chứa địa đích IP sử dụng thông tin để định tuyến gói tin tới đích theo đường thích hợp Các gói tin cặp người sử dụng dùng tuyến thông tin khác nhau, việc định tuyến riêng biệt gói tin Giao thức IP không lưu giữ trạng thái, sau datagram chuyển bên gửi không lưu thông tin nữa, mà phương pháp để phát gói bị dẫn tới trình trạng lặp gói sai thứ tự gói tin Hình 1.2 Định tuyến sử dụng IP Datagram Giao thức Internet giao thức phi kết nối (connectionless), nghĩa không cần thiết lập đường dẫn trước truyền liệu gói tin xử lí độc lập IP không kiểm tra tổng cho phần liệu nó, có Header gói kiểm tra để tránh gửi nhầm địa Các gói tin theo nhiều hướng khác để tới đích Vì liệu IP datagram không đảm bảo Để xử lý nhược điểm lặp gói IP phải dựa vào giao thức lớp cao để truyền tin cậy (ví dụ TCP) [1] Sender Sender11 Data Data Receiver Data Sender Sender22 Data Data Data Hình 1.3 Giao thức kết nối vô hướng 1.3.1.2 Cấu trúc IPv4 Thông tin nhận từ lớp vận chuyển gán thêm vào tiêu đề IP Tiêu đề có chiều dài từ 20 đến 60 bytes đường tùy thuộc vào chức lựa chon sử dụng Cấu trúc gói IPv4 mô tả hình 1.4 Hình 1.4 Cấu trúc gói tin IPv4 Giải thích ý nghĩa trường: * Version (phiên bản): phiên giao thức IP dùng để tạo datagram, sử dụng để máy gửi, máy nhận, định tuyến thống định dạng lược đồ liệu Ở phiên IPv4 * IP header length (độ dài tiêu đề IP): cung cấp thông tin độ dài tiêu đề datagram tính theo từ 32 bit * Type of service (loại dịch vụ): trường loại phục vụ dài bit gồm phần, trường ưu tiên kiểu phục vụ Trường ưu tiên gồm bit dùng để gán mức ưu tiên cho datagram, cung cấp chế cho phép điều khiển gói tin qua mạng Các bit lại dùng để xác định kiểu lưu lượng datagram tin chuyển qua mạng đặc tính thông, độ trễ độ tin cậy Tuy nhiên, thân mạng Internet không đảm bảo chất lượng dịch vụ, trường mạng tính yêu cầu không mang tính đòi hỏi định tuyến * Total length (tổng độ dài): trường gồm 16 bit, sử dụng để xác định chiều dài toàn IP datagram * Identification (nhận dạng): trường nhận dạng dài 16 bit Trường máy chủ dùng để phát nhóm đoạn bị chia nhỏ gói tin Các định tuyến chia nhỏ datagram đơn vị truyền tin lớn gói tin (MTU-Maximum Transmission Unit) lớn MTU môi trường truyền * Flags (cờ): chứa bit sử dụng cho trình điều khiển phân đoạn, bít thị tới định tuyến cho phép không cho phép phân đoạn gói tin, bit giá trị thấp sử dụng điều khiển phân đoạn, kết hợp với trường nhận dạng để xác định gói tin nhận sau trình phân đoạn * Fragment offset: mạng thông tin số lần chia gói tin, kích thước gói tin phụ thuộc vào mạng sở truyền tin, tức độ dài gói tin vượt MTU môi trường truyền * Time - to - live (thời gian sống): dùng để ngăn việc gói tin lặp vòng mạng Nó có vai trò đếm ngược, tránh tượng gói tin lâu mạng Bất kì gói tin có thời gian sống gói tin bị định tuyến hủy bỏ thông báo lỗi gửi trạm phát gói tin * Protocol (giao thức): trường dùng để xác nhận giao thức tầng mức cao sử dụng dịch vụ IP dạng số * Header checksum: trường kiểm tra tổng header có độ dài 16 bit, tính toán tất trường tiêu đề IPv4 Một gói tin qua định tuyến trường phần tiêu đề bị thay đổi, trường cần phải tính toán cập nhập lại để đảm bảo độ tin cậy thông tin định tuyến * Source Address - Destination Address (địa nguồn địa đích): định tuyến gateway sử dụng để định tuyến đơn vị số liệu, luôn với gói tin từ nguồn tới đích 10 Hình 1.10 Thiết lập kết nối theo giao thức TCP 18 Hình 1.11 Thủ tục đóng kết nối TCP .19 Hình 1.12 Cơ chế cửa sổ trượt với kích thước cố định 22 1.4 Tổng kết 22 Chương Công nghệ mạng riêng ảo internet .23 2.1 Gới thiệu mạng riêng ảo Internet IP-VPN 23 2.1.1 Khái niệm mạng riêng ảo tảng Internet 23 2.1.2 Khả ứng dụng IP-VPN 24 2.2 Các khối mạng IP-VPN 24 2.2.1 Điều khiển truy nhập 24 2.2.2 Nhận thực 25 2.2.3 An ninh 25 2.2.4 Truyền Tunnel tảng IP-VPN 26 Hình 2.1 Truyền Tunnel nối mạng riêng ảo 26 2.2.5 Các thỏa thuận mức dịch vụ 26 2.3 Phân loại mạng riêng ảo theo kiến trúc 27 2.3.1 IP-VPN truy nhập từ xa .27 Hình 2.2 IP-VPN truy nhập từ xa 30 2.3.2 Site-to-Site IP-VPN .30 2.3.2.1 Intranet IP-VPN 30 Hình 2.3 Intranet IP-VPN 31 2.3.2.2 Extranet IP-VPN .31 Hình 2.4 Extranet IP-VPN .31 2.4 Các giao thức đường ngầm IP-VPN .32 2.4.1 PPTP (Point - to - Point Tunneling Protocol) .33 2.4.1.1 Duy trì đường ngầm kết nối điều khiển PPTP 33 Hình 2.5 Gói liệu kết nối điều khiển PPTP 34 2.4.1.2 Đóng gói liệu đường ngầm PPTP 34 Hình 2.6 Dữ liệu đường ngầm PPTP .34 2.4.1.3 Xử lí liệu đường ngầm PPTP 35 2.4.1.4 Sơ đồ đóng gói .35 98 Hình 2.7 Sơ đồ đóng gói PPTP 35 2.4.2 L2TP 36 2.4.2.1 Duy trì đường ngầm tin điều khiển L2TP 37 Hình 2.8 Bản tin điều khiển L2TP 37 2.4.2.2 Đường ngầm liệu L2TP 38 Hình 2.9 Đóng bao gói tin L2TP 38 2.4.2.3 Xử lý liệu đường ngầm L2TP IPSec 39 2.4.2.4 Sơ đồ đóng gói L2TP IPSec 39 Hình 2.10 Sơ đồ đóng gói L2TP 39 2.5 Tổng kết 40 Chương Giao thức IPSec cho VPN 42 3.1 Gới thiệu 42 3.1.1 Khái niệm IPSec .42 3.1.2 Các chuẩn tham chiếu có liên quan .44 3.2 Đóng gói thông tin IPSec 46 3.2.1 Các kiểu sử dụng 46 3.2.1.1 Kiểu Transport 46 Hình 3.1 Gói tin IP kiểu Transport .46 3.1.1.2 Kiểu Tunnel 46 Hình 3.2 Gói tin IP kiểu Tunnel 47 Hình 3.3 Thiết bị mạng thực IPSec kiểu Tunnel .47 3.2.2 Giao thức tiêu đề xác thực AH 47 3.2.2.1 Giới thiệu 47 3.2.2.2 Cấu trúc gói tin AH 48 Hình 3.4 Cấu trúc tiêu đề AH cho IPSec Datagram 49 3.2.2.3 Quá trình xử lý AH .50 Hình 3.5 Khuôn dạng IPv4 trước sau xử lý AH kiểu Transport 51 Hình 3.6 Khuôn dạng IPv6 trước sau xử lý AH kiểu Traport 52 Hình 3.7 Khuôn dạng gói tin xử lý AH kiểu Tunnel .52 3.2.3 Giao thức đóng gói an toàn tải tin ESP .54 3.2.3.1 Giới thiệu 54 99 3.2.3.2 Cấu trúc gói tin ESP .54 Hình 3.8 Xử lý đóng gói ESP 55 Hình 3.9 Khuôn dạng gói ESP 55 3.2.3.3 Quá trình xử lý ESP .57 Hình 3.10 Khuôn dạng IPv4 trước sau xử lý ESP kiểu Transport 57 Hình 3.11 Khuôn dạng IPv6 trước sau xử lý ESP kiểu Transport 58 Hình 3.12 Khuôn dạng gói tin xử lý ESP kiểu Tunnel 58 3.3 Kết hợp an ninh SA giao thức trao đổi khóa IKE .63 3.3.1 Kết hợp an ninh SA .63 3.3.1.1 Định nghĩa mục tiêu 63 3.3.1.2 Kết hợp SA .64 Hình 3.13 Kết hợp SA kiểu Tunnel điểm cuối trùng 65 Hình 3.14 Kết hợp SA kiểu Tunnel điểm cuối trùng 65 Hình 3.15 Kết hợp SA kiểu Tunnel điểm cuối trùng 65 3.3.1.3 Cơ sở liệu SA 65 3.3.2 Giao thức trao đổi khóa IKE .66 3.4 Tổng kết 67 Chương An toàn liệu IP-VPN 69 4.1 Giới thiệu 69 4.2 Mật mã 70 4.2.1 Khái niệm mật mã .70 4.2.2 Các hệ thống mật mã khóa đối xứng 71 4.2.2.1 Các chế độ làm việc ECB, CBC 71 Hình 4.2 Chế độ sách mã điện tử ECB 72 Hình 4.3 Thuật toán mật mã khối chế độ CBC 73 4.2.2.2 Giải thuật DES (Data Encryption Standard) 73 Hình 4.4 Sơ đồ thuật toán DES 74 Hình 4.5 Mạng Fiestel 74 Hình 4.6 Phân phối khóa hệ thống mật mã khóa đối xứng 76 100 4.2.2.3 Giới thiệu AES (Advanced Encryption Standard) 76 4.2.2.4 Thuật toán mật mã luồng (stream cipher) 77 Hình 4.7 Mật mã luồng 77 4.2.3 Hệ thống mật mã khóa công khai .77 4.2.3.1 Giới thiệu lý thuyết mã khóa công khai .77 4.2.3.2 Hệ thống mật mã khóa công khai RSA .80 4.2.4 Thuật toán trao đổi khóa Diffie-Hellman 82 Chương Thực IP-VPN .84 5.1 Giới thiệu 84 5.2 Các mô hình thực IP-VPN .85 5.2.1 Access VPN 86 5.2.1.1 Kiến trúc khởi tạo từ máy khách 86 5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS 87 Hình 5.3 Truy nhập IP-VPN khởi tạo từ máy chủ 87 5.2.2 Intranet IP-VPN Extranet IP-VPN 88 Hình 5.4 IP-VPN khởi tạo từ routers .88 5.2.3 Một số sản phẩm thực VPN 89 5.3 Ví dụ thực IP-VPN 89 5.3.1 Kết nối Client-to-LAN 90 Hình 5.5 Các thành phần kết nối Client-to-LAN 90 Hình 5.6 Đường ngầm IPSec Client-to-LAN 91 Hình 5.7 Phần mềm IPSec Client .92 5.3.2 Kết nối LAN-to-LAN 92 Hình 5.8 Đường ngầm IPSec LAN-to-LAN 93 5.4 Tình hình triển khai VPN Việt Nam 93 KẾT LUẬN 94 TÀI LIỆU THAM KHẢO .96 [5] Trần Công Hùng -Học Viện Bưu Chính Viễn thông, Mạng riêng ảoVPN, 96 [6] Dương Trần Đức Học viên Bưu Chính Viễn thông 5/2001 “Bài giảng hệ thống lý thuyết thông tin”, 96 101 KÝ HIỆU VIẾT TẮT 97 LỜI NÓI ĐẦU………………………………………………………… .97 TÓM TẮT Đ Ồ ÁN………………………………………………………… .97 KÝ HIỆU VIẾT TẮT 107 DANH MỤC BẢNG BIỂU 111 DANH MỤC HÌNH VẼ Trang LỜI NÓI ĐẦU Chương Bộ giao thức TCP/IP .5 1.1 Khái niệm mạng Internet 1.2 Mô hình phân lớp giao thức TCP/IP Hình 1.1 Mô hình phân lớp giao thức TCP/IP 1.3 Các giao thức mô hình TCP/IP .7 1.3.1 Giao thức Internet 1.3.1.1 Giới thiệu chung .7 Hình 1.2 Định tuyến sử dụng IP Datagram Hình 1.3 Giao thức kết nối vô hướng 1.3.1.2 Cấu trúc IPv4 Hình 1.4 Cấu trúc gói tin IPv4 Hình 1.5 Hiện tượng phân mảnh IP 11 1.3.1.4 Địa định tuyến IP .12 Hình 1.6 Các lớp địa IPv4 12 1.3.1.5 Cấu trúc gói tin IPv6 13 Hình 1.7 Cấu trúc tiêu đề IPv6 13 1.3.2 Giao thức lớp vận chuyển 15 1.3.2.1 Giao thức UDP .15 102 Hình 1.8 Cấu trúc tiêu đề UDP 15 1.3.2.2 Giao thức TCP 16 Hình 1.9 Cấu trúc tiêu đề TCP 16 Hình 1.10 Thiết lập kết nối theo giao thức TCP 18 Hình 1.11 Thủ tục đóng kết nối TCP .19 Hình 1.12 Cơ chế cửa sổ trượt với kích thước cố định 22 1.4 Tổng kết 22 Chương Công nghệ mạng riêng ảo internet .23 2.1 Gới thiệu mạng riêng ảo Internet IP-VPN 23 2.1.1 Khái niệm mạng riêng ảo tảng Internet 23 2.1.2 Khả ứng dụng IP-VPN 24 2.2 Các khối mạng IP-VPN 24 2.2.1 Điều khiển truy nhập 24 2.2.2 Nhận thực 25 2.2.3 An ninh 25 2.2.4 Truyền Tunnel tảng IP-VPN 26 Hình 2.1 Truyền Tunnel nối mạng riêng ảo 26 2.2.5 Các thỏa thuận mức dịch vụ 26 2.3 Phân loại mạng riêng ảo theo kiến trúc 27 2.3.1 IP-VPN truy nhập từ xa .27 Hình 2.2 IP-VPN truy nhập từ xa 30 2.3.2 Site-to-Site IP-VPN .30 2.3.2.1 Intranet IP-VPN 30 Hình 2.3 Intranet IP-VPN 31 2.3.2.2 Extranet IP-VPN .31 Hình 2.4 Extranet IP-VPN .31 2.4 Các giao thức đường ngầm IP-VPN .32 2.4.1 PPTP (Point - to - Point Tunneling Protocol) .33 2.4.1.1 Duy trì đường ngầm kết nối điều khiển PPTP 33 Hình 2.5 Gói liệu kết nối điều khiển PPTP 34 2.4.1.2 Đóng gói liệu đường ngầm PPTP 34 103 Hình 2.6 Dữ liệu đường ngầm PPTP .34 2.4.1.3 Xử lí liệu đường ngầm PPTP 35 2.4.1.4 Sơ đồ đóng gói .35 Hình 2.7 Sơ đồ đóng gói PPTP 35 2.4.2 L2TP 36 2.4.2.1 Duy trì đường ngầm tin điều khiển L2TP 37 Hình 2.8 Bản tin điều khiển L2TP 37 2.4.2.2 Đường ngầm liệu L2TP 38 Hình 2.9 Đóng bao gói tin L2TP 38 2.4.2.3 Xử lý liệu đường ngầm L2TP IPSec 39 2.4.2.4 Sơ đồ đóng gói L2TP IPSec 39 Hình 2.10 Sơ đồ đóng gói L2TP 39 2.5 Tổng kết 40 Chương Giao thức IPSec cho VPN 42 3.1 Gới thiệu 42 3.1.1 Khái niệm IPSec .42 3.1.2 Các chuẩn tham chiếu có liên quan .44 3.2 Đóng gói thông tin IPSec 46 3.2.1 Các kiểu sử dụng 46 3.2.1.1 Kiểu Transport 46 Hình 3.1 Gói tin IP kiểu Transport .46 3.1.1.2 Kiểu Tunnel 46 Hình 3.2 Gói tin IP kiểu Tunnel 47 Hình 3.3 Thiết bị mạng thực IPSec kiểu Tunnel .47 3.2.2 Giao thức tiêu đề xác thực AH 47 3.2.2.1 Giới thiệu 47 3.2.2.2 Cấu trúc gói tin AH 48 Hình 3.4 Cấu trúc tiêu đề AH cho IPSec Datagram 49 3.2.2.3 Quá trình xử lý AH .50 Hình 3.5 Khuôn dạng IPv4 trước sau xử lý AH kiểu Transport 51 Hình 3.6 Khuôn dạng IPv6 trước sau xử lý AH kiểu Traport 52 104 Hình 3.7 Khuôn dạng gói tin xử lý AH kiểu Tunnel .52 3.2.3 Giao thức đóng gói an toàn tải tin ESP .54 3.2.3.1 Giới thiệu 54 3.2.3.2 Cấu trúc gói tin ESP .54 Hình 3.8 Xử lý đóng gói ESP 55 Hình 3.9 Khuôn dạng gói ESP 55 3.2.3.3 Quá trình xử lý ESP .57 Hình 3.10 Khuôn dạng IPv4 trước sau xử lý ESP kiểu Transport 57 Hình 3.11 Khuôn dạng IPv6 trước sau xử lý ESP kiểu Transport 58 Hình 3.12 Khuôn dạng gói tin xử lý ESP kiểu Tunnel 58 3.3 Kết hợp an ninh SA giao thức trao đổi khóa IKE .63 3.3.1 Kết hợp an ninh SA .63 3.3.1.1 Định nghĩa mục tiêu 63 3.3.1.2 Kết hợp SA .64 Hình 3.13 Kết hợp SA kiểu Tunnel điểm cuối trùng 65 Hình 3.14 Kết hợp SA kiểu Tunnel điểm cuối trùng 65 Hình 3.15 Kết hợp SA kiểu Tunnel điểm cuối trùng 65 3.3.1.3 Cơ sở liệu SA 65 3.3.2 Giao thức trao đổi khóa IKE .66 3.4 Tổng kết 67 Chương An toàn liệu IP-VPN 69 4.1 Giới thiệu 69 4.2 Mật mã 70 4.2.1 Khái niệm mật mã .70 4.2.2 Các hệ thống mật mã khóa đối xứng 71 4.2.2.1 Các chế độ làm việc ECB, CBC 71 Hình 4.2 Chế độ sách mã điện tử ECB 72 Hình 4.3 Thuật toán mật mã khối chế độ CBC 73 4.2.2.2 Giải thuật DES (Data Encryption Standard) 73 105 Hình 4.4 Sơ đồ thuật toán DES 74 Hình 4.5 Mạng Fiestel 74 Hình 4.6 Phân phối khóa hệ thống mật mã khóa đối xứng 76 4.2.2.3 Giới thiệu AES (Advanced Encryption Standard) 76 4.2.2.4 Thuật toán mật mã luồng (stream cipher) 77 Hình 4.7 Mật mã luồng 77 4.2.3 Hệ thống mật mã khóa công khai .77 4.2.3.1 Giới thiệu lý thuyết mã khóa công khai .77 4.2.3.2 Hệ thống mật mã khóa công khai RSA .80 4.2.4 Thuật toán trao đổi khóa Diffie-Hellman 82 Chương Thực IP-VPN .84 5.1 Giới thiệu 84 5.2 Các mô hình thực IP-VPN .85 5.2.1 Access VPN 86 5.2.1.1 Kiến trúc khởi tạo từ máy khách 86 5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS 87 Hình 5.3 Truy nhập IP-VPN khởi tạo từ máy chủ 87 5.2.2 Intranet IP-VPN Extranet IP-VPN 88 Hình 5.4 IP-VPN khởi tạo từ routers .88 5.2.3 Một số sản phẩm thực VPN 89 5.3 Ví dụ thực IP-VPN 89 5.3.1 Kết nối Client-to-LAN 90 Hình 5.5 Các thành phần kết nối Client-to-LAN 90 Hình 5.6 Đường ngầm IPSec Client-to-LAN 91 Hình 5.7 Phần mềm IPSec Client .92 5.3.2 Kết nối LAN-to-LAN 92 Hình 5.8 Đường ngầm IPSec LAN-to-LAN 93 5.4 Tình hình triển khai VPN Việt Nam 93 KẾT LUẬN 94 TÀI LIỆU THAM KHẢO .96 106 [5] Trần Công Hùng -Học Viện Bưu Chính Viễn thông, Mạng riêng ảoVPN, 96 [6] Dương Trần Đức Học viên Bưu Chính Viễn thông 5/2001 “Bài giảng hệ thống lý thuyết thông tin”, 96 KÝ HIỆU VIẾT TẮT 97 LỜI NÓI ĐẦU………………………………………………………… .97 TÓM TẮT Đ Ồ ÁN………………………………………………………… .97 KÝ HIỆU VIẾT TẮT 107 DANH MỤC BẢNG BIỂU 111 KÝ HIỆU VIẾT TẮT Viết tắt 3DES AA AAA Chú giải tiếng Anh Chú giải tiếng Việt Triple DES Thuật toán mã 3DES Acccess Accept Chấp nhận truy nhập Authentication, Authorization Nhận thực, trao quyền AC ACK ACL ADSL and Accounting Access Control Acknowledge Acess Control List Asymmetric Digital Subscriber toán Điều khiển truy nhập Chấp nhận Danh sách điều khiển truy nhập Công nghệ truy nhập đường dây AH ARP ARPA Line Authentication Header Address Resolution Protocol Advanced Research Project thuê bao số không đối xứng Giao thức tiêu đề xác thực Giao thức phân giải địa Cục nghiên cứu dự án tiên tiến ARPAN Agency Advanced ET ATM Agency Asynchronous Transfer Mode BGP B-ISDN Border Gateway Protocol Giao thức định tuyến cổng miền Broadband-Intergrated Service Mạng số tích hợp đa dịch vụ băng Research Mỹ Project Mạng viễn thông cục nghiên 107 cứu dự án tiên tiến Mỹ Phương thức truyền tải không đồng BOOTP CA CBC CHAP Digital Network Boot Protocol Certificate Authority Cipher Block Chaining Challenge Handshake rộng Giao thức khởi đầu Thẩm quyền chứng nhận Chế độ chuỗi khối mật mã Giao thức nhận thực đòi hỏi bắt tay CR CSU DCE Authentication Protocol Cell Relay Công nghệ chuyển tiếp tế bào Channel Service Unit Đơn vị dịch vụ kênh Data communication Thiết bị truyền thông liệu DES DH Equipment Data Encryption Standard Diffie-Hellman DLCI Hellman Data Link Connection Identifier Nhận dạng kết nối lớp liên kết Thuật toán mã DES Giao thức trao đổi khóa Diffie- liệu DNS Domain Name System Hệ thông tên miền DSL Digital Subscriber Line Công nghệ đường dây thuê bao số DSLAM DSL Access Multiplex Bộ ghép kênh DSL DTE Data Terminal Equipment Thiết bị đầu cuối số liệu EAP Extensible Authentication Giao thức xác thực mở rộng ECB ESP Protocol Electronic Code Book Mode Chế độ sách mã điện tử Encapsulating Sercurity Giao thức đóng gói an toàn tải tin FCS FDDI Payload Frame Check Sequence Fiber Distributed FPST Interface Fast Packet FR FTP GRE HMAC Technology Frame Relay File Transfer Protocol Generic Routing Encapsulation Hashed-keyed Message IBM Authenticaiton Code International Bussiness Công ty IBM Chuỗi kiểm tra khung Data Giao diện liệu cáp quang phân tán Switched Kỹ thuật chuyển mạch gói nhanh Machine 108 Công nghệ chuyển tiếp khung Giao thức truyền file Đóng gói định tuyến chung Mã nhận thực tin băm ICMP Internet Control ICV IETF Protocol Intergrity Check Value Internet Engineering IKE IKMP Force Internet Internet Key Exchange Giao thức trao đổi khóa Internet Key Management Giao thức quản lí khóa qua Internet IN IP IPSec ISAKM Protocol Intelligent Network Internet Protocol IP Security Protocol Internet Security Association Công nghệ mạng thông minh Giao thức lớp Internet Giao thức an ninh Internet Giao thức kết hợp an ninh quản P and Key Management Protocol lí khóa qua Internet ISDN Intergrated ISO Network International ISP IV L2F L2TP LAN LCP MAC MD5 MTU NAS NGN NSA OSI OSPF PAP Organization Internet Service Provider Initial Vector Layer Forwarding Layer Tunneling Protocol Local Area Network Link Control Protocol Message Authentication Code Message Digest Maximum Transfer Unit Network Access Server Next Generation Network National Sercurity Agency Open System Interconnnection Open Shortest Path First Password Authentication Nhà cung cấp dịch vụ Internet Véc tơ khởi tạo Giao thức chuyển tiếp lớp Giao thức đường ngầm lớp Mạng cục Giao thức điều khiển đường truyền Mã nhận thực tin Thuật toán tóm tắt tin MD5 Đơn vị truyền tải lớn Máy chủ truy nhập mạng Mạng hệ Cơ quan an ninh quốc gia Mỹ Kết nối hệ thống mở Giao thức định tuyến OSPF Giao thức nhận thực lệnh PDU PKI POP Protocol Protocol Data Unit Public Key Infrastructure Point - Of - Presence Đơn vị liệu giao thức Cơ sở hạn tầng khóa công cộng Điểm hiển diễn Service Message Giao thức tin điều khiển Internet Giá trị kiểm tra tính toàn vẹn Task Cơ quan tiêu chuẩn kỹ thuật cho Digital Mạng số tích hợp đa dịch vụ Standard Tổ chức chuẩn quốc tế 109 PPP PPTP Point-to-Point Protocol Giao thức điểm tới điểm Point-to-Point Tunneling Giao thức đường ngầm điểm tới PSTN Protocol Public Switched điểm Telephone Mạng chuyển mạch thoại công Network cộng RADIUS Remote Authentication Dial-in Dịch vụ nhận thực người dùng quay RARP User Service số từ xa Reverse Address Resolution Giao thức phân giải địa ngược RAS RFC Protocol Remote Access Service Request for Comment Dịch vụ truy nhập từ xa Các tài liệu tiêu chuẩn IP Realtime Internet Protocol Rivest-Shamir-Adleman IETF đưa Giao thức báo hiệu thời gian thực Tên trình mật mã Security Association SA Database Secure Hash Algorithm-1 Simple Mail Transfer Protocol Sequence Number Security Parameter Index Signalling System No7 Transmission Control Protocol Trivial File Transfer Protocol Transport Level Security User Data Protocol Virtual Private Network Wide Area Network khóa công cộng Liên kết an ninh Cơ sở liệu SA Thuật toán băm SHA-1 Giao thức truyền thư đơn giản Số thứ tự Chỉ số thông số an ninh Hệ thống báo hiệu số Giao thức điều khiển truyền tải Giao thức truyền file bình thường An ninh mức truyền tải Giao thức liệu người sử dụng Mạng riêng ảo Mạng diện rộng RIP RSA SA SAD SHA-1 SMTP SN SPI SS7 TCP TFTP TLS UDP VPN WAN 110 DANH MỤC BẢNG BIỂU Trang 111 CÁC KÝ HIỆU TOÁN HỌC Ký hiệu C D DK E EK IV K KR KU Li, Ri P Ý nghĩa Văn mật mã Thuật toán giải mã Thuật toán giải mã với khóa K Thuật toán mật mã Thuật toán mật mã với khóa K Vectơ khởi tạo Khóa K Khóa bí mật Khóa công cộng Bít bên trái bên phải vòng thứ i thuật toán mã hóa DES Văn rõ 112 [...]... Mạng riêng thực hiện nhận thực người sử dụng lần cuối và thiết lập kết nối Kiến trúc này được mô tả ở hình 2.2 Công nghệ truyền Tunnel được lựa chọn cho IP- VPN truy nhập quay số theo phương tiện của hãng khác là L2TP 29 Hình 2.2 IP- VPN truy nhập từ xa 2.3.2 Site-to-Site IP- VPN Site-to-Site IP- VPN (hay còn được gọi là LAN-to-LAN) được sử dụng để nối các site của các hãng phân tán về mặt địa lý, trong... Truyền Tunnel nền tảng IP- VPN Truyền Tunnel là công nghệ quan trọng duy nhất để xây dựng IP- VPN Truyền Tunnel bao gồm đóng bao một số gói số liệu vào các gói khác theo một tập quy tắc được áp dụng cho cả hai đầu cuối của Tunnel Kết quả là nội dung được đóng bao trong Tunnel không thể nhìn thấy đối với mạng công cộng không an ninh nơi các gói được truyền Các vấn đề cụ thể về công nghệ Tunnel được trình... xét đến SLA cho VPN: + Tính khả dụng của Tunnel + Các đảm bảo về băng thông + Trễ của Tunnel + Tốc độ tế bào/ gói đỉnh chấp nhận được + Tỷ lệ mất gói 2.3 Phân loại mạng riêng ảo theo kiến trúc Ở đây chúng ta sẽ đi phân loại IP- VPN theo kiến trúc của nó Các kiến trúc của IP- VPN có thể phân loại thành hai kiểu chính: Site-to-Site IP- VPN (còn được gọi là LAN-to-LAN hay POP-to-POP) và các IP- VPN truy nhập... Extranet IP- VPN và Intranet IP- VPN, các phương án này đều có chung các thuộc tính nhưng được thiết kế để giải quyết các tập vấn đề khác nhau IP- VPN truy nhập từ xa bao gồm các phương pháp truy nhập quay số và truy nhập gọi trực tiếp, các phương pháp này cũng sẽ được đề cập ở dạng kiến trúc chính 2.3.1 IP- VPN truy nhập từ xa Đối với người dùng ở xa và các nhân viên luôn di chuyển hoặc những văn phòng... theo của đồ án Đặc biệt trong phần này là đi tìm hiểu sâu về cấu trúc gói tin IPv4, IPv6 và các đặc điểm khác biệt của gói tin IPv6 so với gói tin IPv4 Chú ý quan trọng rằng ở gói tin IPv6 đã bổ sung những chức năng an toàn 22 Chương 2 Công nghệ mạng riêng ảo trên internet 2.1 Gới thiệu về mạng riêng ảo trên Internet IP- VPN 2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet Như ta đã biết, các... liệu được đảm bảo hơn Với khả năng này, Intranet IP- VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lí các nhóm người sử dụng vào các mạng con LAN khác nhau được kết nối bởi các cầu hay các Router [6] 30 Hình 2.3 Intranet IP- VPN 2.3.2.2 Extranet IP- VPN Extranet IP- VPN được sử dụng khi một tập đoàn không chỉ muốn tương tác với các văn phòng ở xa của mình mà cả với các site trực thuộc... Chẳng hạn một số IP- VPN có thể được điều hành bởi một server tập trung hay thiết bị điều khiển IP- VPN khác đặt tại trung tâm số liệu của nhà cung cấp dịch vụ, hay có thể cổng IP- VPN quản lí địa phương trong các mạng liên quan đến thông tin IP- VPN [5] 2.2.2 Nhận thực Một trong các chức năng quan trọng nhất được IP- VPN hỗ trợ là nhận thực Trong nối mạng riêng ảo, mọi thực thể liên quan đến thông tin phải... Intranet IP- VPN Một tổ chức có thể dùng IP- VPN không chỉ để kết nối các site trực thuộc tổ chức mà còn để kết nối trong miền quản lí của mình như là các văn phòng từ xa hoặc là các văn phòng nhánh tại các vùng địa lí khác nhau tới mạng đầu não thông qua cơ sở hạ tầng chia sẻ Những kết nối này có thể dùng một kênh dành riêng, như là mạng Frame Relay, ATM, hoặc kênh điểm tới điểm Tuy nhiên khi sử dụng IP- VPN. .. được nhận thực Trong thế giới IP- VPN, các thực thể vật lí như các máy trạm ở xa, tường lửa và cổng IP- VPN trong các mạng thuộc hãng tham dự vào phiên thông tin thường chịu trách nhiệm (hay ít nhất chỉ trách nhiệm) cho quá trình tham dự đảm bảo trạng thái kết nối IP- VPN Thí dụ các quyết định bao gồm: khởi đầu, Cho phép, Tiếp tục, Từ chối, Kết thúc Mục đích chính của IP- VPN là cho phép truy nhập có đảm... toàn tới những ứng dụng của tổ chức cho những người sử dụng ở xa, những nhân viên luôn di chuyển, văn phòng nhánh và những đối tác thương mại Cấu trúc IP- VPN này là phương tiện thông qua một cơ sở hạ tầng công cộng chung sử dụng đường dây ISDN, dial, tương tự, Mobile IP, DSL và điện thoại cáp Cấu trúc IP- VPN này được quan tâm đến ở khắp mọi nơi vì nó có thể thiết lập tại bất kì thời điểm nào và bất kể ... cho IP- VPN dựa IPSec - Chương trình bày phương pháp thực IP – VPN sử dụng Em xin gửi lời cảm ơn chân thành đến Trường Đại học Vinh, thầy cô Khoa Công Nghệ tạo điều kiện giúp đỡ em trình học tập... trúc IP- VPN phân loại thành hai kiểu chính: Site-to-Site IP- VPN (còn gọi LAN-to-LAN hay POP-to-POP) IP- VPN truy nhập từ xa Các Site-to-Site bao gồm phương án như: Extranet IP- VPN Intranet IP- VPN, ... tả hình 2.2 Công nghệ truyền Tunnel lựa chọn cho IP- VPN truy nhập quay số theo phương tiện hãng khác L2TP 29 Hình 2.2 IP- VPN truy nhập từ xa 2.3.2 Site-to-Site IP- VPN Site-to-Site IP- VPN (hay gọi