. Công nghệ tương tự - 0G và 1G
Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Bùi Văn Nhật 45K 2 ĐTVT MỤC LỤC MỤC LỤC i Danh mục bảng biểu v Danh sách hình vẽ .vi Ký hiệu viết tắt .ix LỜI NÓI ĐẦU .1 Chương 1 BỘ GIAO THỨC TCP/IP 3 1.1 Khái niệm mạng Internet .3 1.2 Mô hình phân lớp bộ giao thức TCP/IP 4 1.3 Các giao thức trong mô hình TCP/IP 5 1.3.1 Giao thức Internet 5 1.3.1.1 Giới thiệu chung .5 1.3.1.2. Cấu trúc IPv4 .6 1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu 8 1.3.1.4. Địa chỉ và định tuyến IP 8 1.3.1.5. Cấu trúc gói tin IPv6 9 1.3.2. Giao thức lớp vận chuyển .11 1.3.2.1. Giao thức UDP 11 1.3.2.2. Giao thức TCP .12 1.4 Tổng kết .17 Chương 2 CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN .18 2.1 Gới thiệu về mạng riêng ảo trên Internet IP-VPN .18 2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet .18 2.1.2 Khả năng ứng dụng của IP-VPN 18 2.2 Các khối cơ bản trong mạng IP-VPN 19 2.2.1 Điều khiển truy nhập 19 2.2.2 Nhận thực 20 2.2.3 An ninh 20 2.2.4 Truyền Tunnel nền tảng IP-VPN .21 2.2.5 Các thỏa thuận mức dịch vụ 23 2.3 Phân loại mạng riêng ảo theo kiến trúc .23 i Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Bùi Văn Nhật 45K 2 ĐTVT 2.3.1 IP-VPN truy nhập từ xa .23 2.3.2 Site-to-Site IP-VPN .25 2.3.2.1 Intranet IP-VPN .25 2.3.2.2 Extranet IP-VPN 26 2.4 Các giao thức đường ngầm trong IP-VPN 26 2.4.1 PPTP (Point - to - Point Tunneling Protocol) .28 2.4.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP 28 2.4.1.2 Đóng gói dữ liệu đường ngầm PPTP .29 2.4.1.3 Xử lí dữ liệu đường ngầm PPTP .29 2.4.1.4 Sơ đồ đóng gói 30 2.4.2 L2TP (Layer Two Tunneling Protocol) 31 2.4.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP 31 2.4.2.2 Đường ngầm dữ liệu L2TP .32 2.4.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec .33 2.4.2.4 Sơ đồ đóng gói L2TP trên nền IPSec .33 2.5 Tổng kết .35 Chương 3 GIAO THỨC IPSEC CHO IP-VPN 35 3.1 Gới thiệu 36 3.1.1 Khái niệm về IPSec 36 3.1.2 Các chuẩn tham chiếu có liên quan .37 3.2 Đóng gói thông tin của IPSec 38 3.2.1 Các kiểu sử dụng 38 3.2.1.1 Kiểu Transport 38 3.1.1.2 Kiểu Tunnel .39 3.2.2 Giao thức tiêu đề xác thực AH 40 3.2.2.1 Giới thiệu 40 3.2.2.2 Cấu trúc gói tin AH .41 3.2.2.3 Quá trình xử lý AH 42 3.2.3 Giao thức đóng gói an toàn tải tin ESP 45 3.2.3.1 Giới thiệu 45 3.2.3.2 Cấu trúc gói tin ESP .46 3.2.3.3 Quá trình xử lý ESP 48 3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE .53 3.3.1 Kết hợp an ninh SA .53 3.3.1.1 Định nghĩa và mục tiêu .53 3.3.1.2 Kết hợp các SA 54 3.3.1.3 Cơ sở dữ liệu SA .55 3.3.2 Giao thức trao đổi khóa IKE .56 3.3.2.1 Bước thứ nhất .57 3.3.2.2 Bước thứ hai 59 ii Đồ án tốt nghiệp Đại học Cơng nghệ IP - VPN Bùi Văn Nhật 45K 2 ĐTVT 3.3.2.3 Bước thứ ba .61 3.3.2.4 Bước thứ tư .63 3.3.2.5 Kết thúc đường ngầm 63 3.4 Những giao thức đang được ứng dụng cho xử lý IPSec .63 3.4.1 Mật mã bản tin 63 3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES .63 3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES .64 3.4.2 Tồn vẹn bản tin .64 3.4.2.1 Mã nhận thực bản tin băm HMAC .65 3.4.2.2 Thuật tốn MD5 65 3.4.2.3 Thuật tốn băm an tồn SHA .65 3.4.3 Nhận thực các bên 65 3.4.3.1 Khóa chia sẻ trước 66 3.4.3.2 Chữ ký số RSA .66 3.4.3.3 RSA mật mã nonces .66 3.4.4 Quản lí khóa 66 3.4.4.1 Giao thức Diffie-Hellman .67 3.4.4.2 Quyền chứng nhận CA 68 3.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec .69 3.6 Tổng kết .70 Chương 4 AN TỒN DỮ LIỆU TRONG IP-VPN 71 4.1 Giới thiệu .71 4.2 Mật mã .72 4.2.1 Khái niệm mật mã .72 4.2.2 Các hệ thống mật mã khóa đối xứng 73 4.2.2.1 Các chế độ làm việc ECB, CBC .73 4.2.2.2 Giải thuật DES (Data Encryption Standard) .75 4.2.2.3 Giới thiệu AES (Advanced Encryption Standard) 77 4.2.2.4Thuật tốn mật mã luồng (stream cipher) .78 4.2.3 Hệ thống mật mã khóa cơng khai .78 4.2.3.1 Giới thiệu và lý thuyết về mã khóa cơng khai 78 4.2.3.2 Hệ thống mật mã khóa cơng khai RSA .80 4.2.4 Thuật tốn trao đổi khóa Diffie-Hellman 82 4.3 Xác thực 83 4.3.1 Xác thực tính tồn vẹn của dữ liệu .83 4.3.1.1 Giản lược thơng điệp MD dựa trên các hàm băm một chiều 83 4.3.1.2 Mã xác thực bản tin MAC dựa trên các hàm băm một chiều sử dụng khóa .87 4.3.1.3 Chữ ký số dựa trên hệ thống mật mã khóa cơng khai 89 4.3.2 Xác thực nguồn gốc dữ liệu .90 iii Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Bùi Văn Nhật 45K 2 ĐTVT 4.3.2.1 Các phương thức xác thực 90 4.3.2.2 Các chứng thực số (digital certificates) .92 Chương 5 THỰC HIỆN IP-VPN 96 5.1 Giới thiệu .96 5.2 Các mô hình thực hiện IP-VPN .97 5.2.1 Access VPN .98 5.2.1.1 Kiến trúc khởi tạo từ máy khách 98 5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS .98 5.2.2 Intranet IP-VPN và Extranet IP-VPN 99 5.2.3 Một số sản phẩm thực hiện VPN 100 5.3 Ví dụ về thực hiện IP-VPN .100 5.3.1 Kết nối Client-to-LAN 101 5.3.2 Kết nối LAN-to-LAN 103 KẾT LUẬN .104 Tài liệu tham khảo .105 Các website tham khảo 106 iv Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Bùi Văn Nhật 45K 2 ĐTVT Danh mục bảng biểu Bảng 3.1: Các RFC đưa ra có liên quan đến IPSec .37 Bảng 3.2: Kết quả khi kết hợp lệnh permit và deny 59 Bảng 3.3: Tổng kết chương các giao thức của IPSec 70 Bảng 4.1: Một số giao thức và thuật toán ứng dụng thông dụng .71 Bảng 4.2: Thời gian bẻ khóa trong giải thuật RSSA/DSS và ECC .80 Bảng 4.3: Tóm tắt giải thuật RSA và độ phức tạp .81 Bảng 4.4: Các bước thực hiện để trao đổi khóa Diffie Hellman .82 Bảng 5.1: Ví dụ về các sản phẩm của Cisco và Netsreen 100 v Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Bùi Văn Nhật 45K 2 ĐTVT Danh sách hình vẽ Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP .4 Hình 1.2: Định tuyến khi sử dụng IP Datagram 5 Hình 1. 3: Giao thức kết nối vô hướng 6 Hình 1.4: Cấu trúc gói tin IPv4 6 Hình 1.5: Hiện tượng phân mảnh trong IP 8 Hình 1.6: Các lớp địa chỉ IPv4 9 Hình 1.7: Cấu trúc tiêu đề IPv6 .10 Hình 1.8: Cấu trúc tiêu đề UDP .11 Hình 1.9: Cấu trúc tiêu đề TCP 12 Hình 1.10: Thiết lập kết nối theo giao thức TCP .14 Hình 1.11: Thủ tục đóng kết nối TCP 15 Hình 1.12: Cơ chế cửa sổ trượt với kích thước cố định 17 Hình 2.1: Truyền Tunnel trong nối mạng riêng ảo 21 Hình 2.2: Che đậy địa chỉ IP riêng bằng truyền Tunnel 22 Hình 2.3: IP-VPN truy nhập từ xa .25 Hình 2.4: Intranet IP-VPN .26 Hình 2.5: Extranet IP-VPN 26 Hình 2.6: Gói dữ liệu của kết nối điều khiển PPTP .28 Hình 2.7: Dữ liệu đường ngầm PPTP 29 Hình 2.8: Sơ đồ đóng gói PPTP .30 Hình 2.9: Bản tin điều khiển L2TP 32 Hình 2.10: Đóng bao gói tin L2TP 32 Hình 2.11: Sơ đồ đóng gói L2TP .34 Hình 3.1 Gói tin IP ở kiểu Transport .39 Hình 3.2: Gói tin IP ở kiểu Tunnel 39 Hình 3.3: Thiết bị mạng thực hiện IPSec kiểu Tunnel 40 Hình 3.4: Cấu trúc tiêu đề AH cho IPSec Datagram .41 Hình 3.5: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport .43 Hình 3.6: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport 43 vi Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Bùi Văn Nhật 45K 2 ĐTVT Hình 3.7: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel 44 Hình 3.8: Xử lý đóng gói ESP .46 Hình 3.9: Khuôn dạng gói ESP 46 Hình 3.10: Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport 48 Hình 3.11: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport 49 Hình 3.12: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel .49 Hình 3.13: Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau 55 Hình 3.14: Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau 55 Hình 3.15: Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau .55 Hình 3.16: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE .57 Hình 3.17: Danh sách bí mật ACL 58 Hình 3.18: IKE pha thứ nhất sử dụng chế độ chính (Main Mode) 59 Hình 3.19: Các tập chuyển đổi IPSec 62 Hình 3.20: Ví dụ về hoạt động của IP-VPN sử dụng IPSec 69 Hình 4.1: Các khái niệm chung sử dụng trong các thuật toán mật mã 72 Hình 4.2: Chế độ chính sách mã điện tử ECB .74 Hình 4.3: Thuật toán mật mã khối ở chế độ CBC .74 Hình 4.4: Sơ đồ thuật toán DES 75 Hình 4.5: Mạng Fiestel 76 Hình 4.6: Phân phối khóa trong hệ thống mật mã khóa đối xứng .77 Hình 4.7: Mật mã luồng .78 Hình 4.8: Sơ đồ mã khóa công khai .79 Hình 4.9: Một bít thay đổi trong bản tin dẫn đến 50% các bít MD thay đổi .85 Hình 4.10: Các hàm băm thông dụng MD5, SHA .86 Hình 4.11: Cấu trúc cơ bản của MD5, SHA 86 Hình 4.12: Xác thực tính toàn vẹn dựa trên mã xác thực bản tin MAC 87 Hình 4.13: Quá trình tạo mã xác thực bản tin MAC 88 Hình 4.14: Chữ ký số .90 Hình 4.15: Giao thức hỏi đáp MAC 91 Hình 4.16: Giao thức hỏi đáp sử dụng chữ ký số 92 Hình 4.17: Mô hình tin tưởng thứ nhất (PGP Web of Trust) .93 vii Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Bùi Văn Nhật 45K 2 ĐTVT Hình 4.18: Mô hình tin tưởng thứ hai (phân cấp tin tưởng với các CAs) 94 Hình 4.19: Cấu trúc chung của một chứng thực X.509 .95 Hình 5.1: Ba mô hình IP-VPN .97 Hình 5.2: Truy nhập IP-VPN từ xa khởi tạo từ phía người sử dụng .98 Hình 5.3: Truy nhập IP-VPN khởi tạo từ máy chủ 99 Hình 5.4: IP-VPN khởi tạo từ routers 99 Hình 5.5: Các thành phần của kết nối Client-to-LAN .101 Hình 5.6: Đường ngầm IPSec Client-to-LAN .102 Hình 5.7: Phần mềm IPSec Client .103 Hình 5.8: Đường ngầm IPSec LAN-to-LAN .103 viii Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Bùi Văn Nhật 45K 2 ĐTVT Ký hiệu viết tắt Viết tắt Chú giải tiếng Anh Chú giải tiếng Việt 3DES Triple DES Thuật toán mã 3DES AA Acccess Accept Chấp nhận truy nhập AAA Authentication, Authorization and Accounting Nhận thực, trao quyền và thanh toán AC Access Control Điều khiển truy nhập ACK Acknowledge Chấp nhận ACL Acess Control List Danh sách điều khiển truy nhập ADSL Asymmetric Digital Subscriber Line Công nghệ truy nhập đường dây thuê bao số không đối xứng AH Authentication Header Giao thức tiêu đề xác thực ARP Address Resolution Protocol Giao thức phân giải địa chỉ ARPA Advanced Research Project Agency Cục nghiên cứu các dự án tiên tiến của Mỹ ARPANET Advanced Research Project Agency Mạng viễn thông của cục nghiên cứu dự án tiên tiến Mỹ ATM Asynchronous Transfer Mode Phương thức truyền tải không đồng bộ BGP Border Gateway Protocol Giao thức định tuyến cổng miền B-ISDN Broadband-Intergrated Service Digital Network Mạng số tích hợp đa dịch vụ băng rộng BOOTP Boot Protocol Giao thức khởi đầu CA Certificate Authority Thẩm quyền chứng nhận CBC Cipher Block Chaining Chế độ chuỗi khối mật mã CHAP Challenge - Handshake Authentication Protocol Giao thức nhận thực đòi hỏi bắt tay CR Cell Relay Công nghệ chuyển tiếp tế bào CSU Channel Service Unit Đơn vị dịch vụ kênh DCE Data communication Equipment Thiết bị truyền thông dữ liệu DES Data Encryption Standard Thuật toán mã DES DH Diffie-Hellman Giao thức trao đổi khóa Diffie-Hellman DLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết dữ liệu DNS Domain Name System Hệ thông tên miền DSL Digital Subscriber Line Công nghệ đường dây thuê bao số DSLAM DSL Access Multiplex Bộ ghép kênh DSL DTE Data Terminal Equipment Thiết bị đầu cuối số liệu EAP Extensible Authentication Giao thức xác thực mở rộng ix Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Bùi Văn Nhật 45K 2 ĐTVT Protocol ECB Electronic Code Book Mode Chế độ sách mã điện tử ESP Encapsulating Sercurity Payload Giao thức đóng gói an toàn tải tin FCS Frame Check Sequence Chuỗi kiểm tra khung FDDI Fiber Distributed Data Interface Giao diện dữ liệu cáp quang phân tán FPST Fast Packet Switched Technology Kỹ thuật chuyển mạch gói nhanh FR Frame Relay Công nghệ chuyển tiếp khung FTP File Transfer Protocol Giao thức truyền file GRE Generic Routing Encapsulation Đóng gói định tuyến chung HMAC Hashed-keyed Message Authenticaiton Code Mã nhận thực bản tin băm IBM International Bussiness Machine Công ty IBM ICMP Internet Control Message Protocol Giao thức bản tin điều khiển Internet ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn IETF Internet Engineering Task Force Cơ quan tiêu chuẩn kỹ thuật cho Internet IKE Internet Key Exchange Giao thức trao đổi khóa IKMP Internet Key Management Protocol Giao thức quản lí khóa qua Internet IN Intelligent Network Công nghệ mạng thông minh IP Internet Protocol Giao thức lớp Internet IPSec IP Security Protocol Giao thức an ninh Internet ISAKMP Internet Security Association and Key Management Protocol Giao thức kết hợp an ninh và quản lí khóa qua Internet ISDN Intergrated Service Digital Network Mạng số tích hợp đa dịch vụ ISO International Standard Organization Tổ chức chuẩn quốc tế ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IV Initial Vector Véc tơ khởi tạo L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2 L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2 LAN Local Area Network Mạng cục bộ LCP Link Control Protocol Giao thức điều khiển đường truyền MAC Message Authentication Code Mã nhận thực bản tin MD5 Message Digest 5 Thuật toán tóm tắt bản tin MD5 x [...]... Tunnel 2.2.5 Các thỏa thuận mức dịch vụ Các thực thể tham dự vào nối mạng ảo như các ISP, các hãng vô tuyến, các hãng và người sử dụng từ xa bị ràng buộc bởi các thỏa thuận để đạt được các mức dịch vụ yêu cầu cũng như các lợi nhuận mong muốn đối với các dịch vụ được cung cấp Các thỏa thuận này được dự thảo giữa các bên quan tâm và các đối tác của họ để định nghĩa các mức cho phép định lượng và đánh giá... quát về bộ giao thức của TCP/IP - Chương 2: Công nghệ mạng riêng ảo trên Internet IP-VPN Chương này trình bày các khái niệm VPN, bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm của nó có thể trở thành một giải pháp có khả năng phát triển mạnh trên thị trường Tiếp theo là Bùi Văn Nhật 45K2ĐTVT 1 Đồ án tốt nghiệp Đại học Công nghệ IP - VPN trình bày về các khối chức năng cơ bản của IP-VPN, phân loại... ninh nơi các gói được truyền Các vấn đề cụ thể về công nghệ Tunnel được trình bày trong các phần sau Khái niệm truyền Tunnel được áp dụng cho nối mạng riêng ảo được trình bày trong hình 2.2 sau đây Trên hình này, các gói được gửi đi từ máy trạm A đến máy trạm Z phải qua rất nhiều chuyển mạch và router Nếu router C đóng gói đến từ máy A và cổng Y mở bao gói, thì các nút khác mà gói này đi qua sẽ không... sâu về giao thức IP của lớp Internet và giao thức TCP/UDP của lớp giao vận Đối với giao thức IP, ở đây chỉ trình bày các vấn đề địa chỉ, định tuyến, phân mảnh và hợp nhất dữ liệu, cấu trúc gói tin IPv4 và IPv6 Đây là những vấn đề cơ bản của giao thức IP và nó được sử dụng trong nội dung của các chương tiếp theo của đồ án Đặc biệt trong phần này là đi tìm hiểu sâu về cấu trúc gói tin IPv4, IPv6 và các. .. sách và các kỹ thuật điều khiển truy nhập đến các tài nguyên nối mạng riêng cho các phía được trao quyền Các cơ chế AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sử dụng cụ thể sau khi người này đã được nhận thực Trong thế giới IP-VPN, các thực thể vật lí như các máy trạm ở xa, tường lửa và cổng IP-VPN trong các mạng thuộc hãng tham dự vào... mã hoá lưu lượng VPN Nó cũng liên quan đến các thủ tục phức tạp của nhà khai thác và các hạng cung cấp nó Và khi VPN dựa trên mạng, cần thiết lập quan hệ tin tưởng giữa nhà cung cấp dịch vụ và khách hành VPN yêu cầu thỏa thuận và triển khai cơ chế an ninh tương ứng Chẳng hạn, có thể truy nhập server AAA trong hãng bằng cách đảm bảo an ninh các bản tin RADIUS thông qua IPSec khi chúng truyền trên cơ... với sự phát triển nhanh chóng của mạng truy nhập từ xa, trên toàn bộ quốc gia và thậm chí là triển khai quốc tế các POP (Point - Of - Presence: điểm hiện di n) quay số bởi các nhà cung cấp dịch vụ, chi phí cho những cuộc gọi đường dài được giảm đi, tất cả các lo lắng về thủ tục quay số có thể được nhà cung cấp dịch vụ Internet (ISP) và nhà cung cấp truy nhập gánh chịu Các IP-VPN truy nhập từ xa quay... để gửi lưu lượng đều vô nghĩa Vì thế các điểm cuối có ý đồ xấu không có cách nào tham dự vào liên kết an ninh trên IPSec ESP và vì thế việc tách hú họa an ninh hiện thời sẽ không dễ dàng và mức độ không thể di n dải số liệu đánh cắp là rất cao Đây là điều mà các khách hàng IP-VPN quan tâm và cũng là lý do sử dụng Bùi Văn Nhật 45K2ĐTVT 22 Đồ án tốt nghiệp Đại học Công nghệ IP - VPN hạn chế AH Cần lưu... thích của IP VPN cao vì sự phổ biến của nó, nên bạn có thể kết hợp nhiều thiết bị của những sản phẩm thương hiệu khác nhau Trên cơ sở đó, tôi quyết định chọn hướng nghiên cứu đô án của mình là công nghệ IP-VPN Mục đích của đồ án là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc thực hiện IP-VPN Bố cục của đồ án gồm 5 chương: - Chương 1: Bộ giao thức TCP/IP Chương này trình bày khái quát về. .. Nhật 45K2ĐTVT 23 Đồ án tốt nghiệp Đại học Công nghệ IP - VPN tầng công cộng chung sử dụng đường dây ISDN (mạng số đa dịch vụ), dial (quay số), tương tự, Mobile IP (di động IP), DSL (đường dây thuê bao số) và điện thoại cácp Cấu trúc IP-VPN này được quan tâm đến ở khắp mọi nơi vì nó có thể thiết lập tại bất kì thời điểm nào và bất kể đâu thông qua Internet Thêm vào đó là một số thuận lợi có được do việc