ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN ĐÌNH NGHĨA CƠNG NGHỆ MẠNG RIÊNG ẢO SSL VPN VÀ ỨNG DỤNG TRONG XÂY DỰNG HỆ THỐNG TRUYỀN TỆP Chuyên ngành: Công nghệ thông tin Mã số : 1.01.10 LUẬN VĂN THẠC SỸ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN VĂN TAM Hà Nội - 2006 MỤC LỤC Lời cảm ơn Lời cam đoan Mục lục ……………………………………………… ………………………… Danh mục chữ viết tắt, thuật ngữ.…………………………………… …… Danh mục hình vẽ.………………………………………………………… …5 Mở đầu………………………………………………………………………… ….8 Chương Tổng quan mạng riêng ảo……………………………………… 10 1.1 Khái niệm chung mạng riêng ảo………………………………………….10 1.2 Phân loại mạng riêng ảo…………………………………………………….12 1.2.1 Phân loại VPN theo việc cung cấp dịch vụ…………………………….12 1.2.2 Phân loại VPN theo kỹ thuật sử dụng VPN………………………16 1.2.3 Phân loại VPN theo nhóm chức năng………………………………….16 1.2.4 Phân loại VPN theo nhóm cơng nghệ mơ hình OSI……………… 18 1.2.5 Phân loại VPN theo nơi xử lý VPN……………………………………18 1.3 Các thành phần mạng riêng ảo………………………………………….19 1.3.1 Máy chủ phục vụ truy cập mạng NAS…………………………………19 1.3.2 Bộ định tuyến………………………………………………………… 19 1.3.3 Máy nguồn máy đích đường hầm………………………………… 19 1.3.4 Máy chủ phục vụ xác thực……………………………………….…….20 1.3.5 Tường lửa - Firewall……………………………………………………20 1.3.6 Máy chủ sách…………………………………………………….21 1.3.7 VPN Gateway………………………………………………………… 21 1.4 Đường hầm VPN…………………………………………………… 21 1.4.1 Khái niệm đường hầm…………………………………………….……21 1.4.2 Các giao thức đường hầm…………………………………………… 22 1.5 Các yêu cầu VPN………………………………………… 29 1.5.1 Xác thực VPN……………………………………………………29 1.5.2 Tính bí mật liệu VPN…………………………………….… 32 1.5.3 Tính tồn vẹn liệu VPN………………………………………32 1.6 Kết luận chương…………………………………………………………….33 Chương Công nghệ mạng riêng ảo SSL VPN……………………………… 34 2.1 Giới thiệu……………………………………………………………………34 2.1.1 Lịch sử phát triển giao thức SSL………………………………… 34 2.1.2 SSL mơ hình OSI………………………………………………… 35 2.2 Các khái niệm an ninh sử dụng SSL……………………………36 2.2.1 Mã hoá……………………………………………………………… 36 2.2.2 Hàm băm tóm lược thơng điệp…………………………………37 2.2.3 Mã xác thực thơng điệp……………………………………………… 38 2.2.4 Mã hố khóa cơng khai chữ ký điện tử…………………………… 38 2.2.5 Chứng số quan cung cấp chứng số………………………39 2.3 Giao thức đường hầm SSL………………………………………………….40 2.3.1 Giao thức bắt tay SSL…………………………….……………………40 2.3.2 Giao thức ghi SSL…………………………………………………53 2.3.3 Giao thức cảnh báo SSL……………………………………………….56 2.3.4 Giao thức ChangeCipherSpec………………………………………….57 2.3.5 Khuôn dạng thông điệp giao thức bắt tay………………………….58 2.4 Thiết lập đường hầm SSL VPN………………………………………63 2.5 So sánh SSL VPN IPSec VPN………………………………………… 64 2.6 Kết luận chương…………………………………………………………….66 Chương Xây dựng hệ thống truyền tệp dựa hoạt động giao thức SSL…67 3.1 Phát biểu toán……………………………………………………………67 3.2 Thiết kế hệ thống……………………………………………………………68 3.3 Giao thức trao đổi liệu SSLFTP……………………………………… 69 3.4 Nguyên tắc hoạt động hệ thống…………………………………………69 3.4.1 Khởi tạo phiên giao tiếp……………………………………………… 69 3.4.2 Các thông điệp trao đổi pha thiết lập liên kết.………………… 71 3.4.3 Xác thực máy chủ tệp ……………………………………………… 72 3.4.4 Tạo tham số phiên.…………………………………………………73 3.4.5 Đóng gói gửi thơng điệp…………………………………………….74 3.4.6 Các thuật toán sử dụng hệ thống……………………………… 74 3.5 Thiết kế thông điệp trao đổi liệu…………………………………….75 3.5.1 Khuôn dạng thông điệp giao thức ghi SSLFTPRecord……….75 3.5.2 Khuôn dạng thông điệp giao thức tầng trên……………………75 3.6 Bảo vệ thơng điệp……………………………………………………….79 3.6.1 Tính tốn mã xác thực thơng điệp…………………………………… 80 3.6.2 Mã hố liệu…………………………………………………………80 3.7 Thiết kế module chương trình………………………………………………81 3.7.1 Module máy chủ xác thực.……………………………………… 81 3.7.2 Module máy chủ tệp.…………………………………………… 82 3.7.3 Module máy khách ……………………………………………….82 3.8 Cài đặt thử nghiệm………………………………………………………….83 3.8.1 Cài đặt máy chủ xác thực………………………………………….83 3.8.2 Cài đặt máy chủ tệp……………………………………………….84 3.8.3 Cài đặt máy khách.……………………………………………… 85 Kết luận chung……………………………………………………………………87 Tài liệu tham khảo……………………………………………………………….88 Phụ lục Phụ lục A Phụ lục B Phụ lục C Phụ lục D Phụ lục E Phụ lục F DANH MỤC CÁC TỪ VIẾT TẮT, THUẬT NGỮ TRONG LUẬN VĂN AH CHAP CA DES FEP ESP GRE HDLC IETF IPSec IPSec VPN L2F L2TP LCP LDAP MAC Message Digest MPLS MPPE NAS NAT NCP PAP PIN PoP PKC PPP PPTP RAS RC2, RC4 SKC SSL SSL VPN SP TLS VPN Authentication Header Challenge Handshake Authentication Protocol Certification Authority Data Encryption Standard Front-End-Processor Encapsulating Security Payload Generic Routing Encapsulation High-Level Data Link Control Internet Engineering Task Force Internet Protocol Security Mạng riêng ảo sử dụng công nghệ IPSec Layer Forwarding Layer Tunneling Protocol Link Control Protocol Lightweight Directory Access Protocol Message Authentication Code Bản tóm lược thơng điệp Multi Protocol Label Switching Microsoft Point to Point Encryption Network Access Server Network Address Translation Network Control Protocol Password Authentication Protocol Personal Identification Number Point of Presence Public Key Cryptography Point to Point Protocol Point to Point Tunneling Protocol Remote Access Server Rivest's Cipher or Ron's Code Secret Key Cryptography Secure Socket Layer Mạng riêng ảo sử dụng công nghệ SSL Service Provider Transport Layer Security Virtual Private Network DANH MỤC CÁC HÌNH VẼ TRONG LUẬN VĂN Hình 1.1 Hình 1.2 Hình 1.3 Hình 1.4 Hình 1.5 Hình 1.6 Hình 1.7 Hình 1.8 Hình 1.9 Hình 1.10 Hình 1.11 Hình 1.12 Hình 1.13 Hình 1.14 Hình 1.15 Hình 1.16 Hình 1.17 Hình 1.18 Hình 1.19 Hình 2.1 Hình 2.2 Hình 2.3 Hình 2.4 Hình 2.5 Hình 2.6 Hình 2.7 Hình 2.8 Hình 2.9 Hình 2.10 Hình 2.11 Hình 2.12 Hình 2.13 Hình 2.14 Hình 2.15 Hình 2.16 Mơ hình VPN……………….….………………………………… 11 Mối quan hệ Router………………………………………… 12 Triển khai Overlay VPN tầng 1………………… ……………………13 Triển khai Overlay VPN tầng 2.……… …… ………………………13 Triển khai Overlay VPN tầng 3…………… …………………………13 Mơ hình mạng MPLS VPN………………………… ……………… 15 Remote Access VPN………………………………… ………………17 Site to Site VPN……………………….……………….………………18 VPN theo nơi xử lý……………………………… ………………… 19 Đường hầm VPN…………………………… ….…… .22 Phiên PPTP với máy khách PPP……………………………………….23 Phiên PPTP với máy khách PPP giao thức PPTP………………… 24 Các thao tác PPTP…………………………………………………… 24 Cấu trúc gói tin điều khiển giao thức PPTP…………………… 25 Cấu trúc gói tin liệu người dùng PPTP………………………25 Chế độ đường hầm bắt buộc L2TP…………………………………….26 Chế độ đường hầm chủ động L2TP……………………………………26 Cấu trúc gói tin điều khiển giao thức L2TP……………… 27 Cấu trúc gói tin liệu người dùng L2TP………………………27 Sơ đồ mối quan hệ SSL mơ hình OSI………….…………… 35 Sơ đồ mối quan hệ SSL giao thức khác………………… 36 Sơ đồ hệ thống mã hoá khoá đối xứng ……………………………… 37 Sơ đồ hệ thống mã hố khố cơng khai …………………… ……… 37 Sơ đồ xác thực liệu dùng chữ ký điện tử………………………… 39 Sơ đồ trình bắt tay không xác thực máy khách SSL…… 41 Sơ đồ q trình bắt tay có xác thực máy khách SSL……………43 Sơ đồ trình cập nhật trạng thái phiên máy khách………………46 Sơ đồ trình cập nhật trạng thái phiên máy chủ……………… 47 Sơ đồ xác thực máy chủ giao thức SSL………………………….49 Sơ đồ xác thực máy khách giao thức SSL………………………50 Sơ đồ trình tạo Master secret SSL………………………… 51 Sơ đồ trình tạo Key material SSL………………………… 52 Sơ đồ sinh khoá từ Key material………………………………………52 Các bước xử lý liệu giao thức ghi SSL………………… 53 Khuôn dạng thơng điệp ghi SSL………………………………… 53 Hình 2.17 Hình 2.18 Hình 2.19 Hình 2.20 Hình 2.21 Hình 2.22 Hình 2.23 Hình 2.24 Hình 2.25 Hình 2.26 Hình 2.27 Hình 2.28 Hình 2.29 Hình 2.30 Hình 2.31 Hình 2.32 Hình 2.33 Hình 3.1 Hình 3.2 Hình 3.3 Hình 3.4 Hình 3.5 Hình 3.6 Hình 3.7 Hình 3.8 Hình 3.9 Hình 3.10 Hình 3.11 Hình 3.12 Hình 3.13 Hình 3.14 Hình 3.15 Hình 3.16 Hình 3.17 Hình 3.18 Hình 3.19 Hình 3.20 Bảo vệ thơng điệp với thuật tốn MD5……………………………… 54 Bảo vệ thơng điệp với thuật tốn SHA…………………………………54 Sơ đồ tính tốn MAC SSL………………………………………55 Mã hố thơng điệp với thuật tốn mã hố dịng……………………….56 Mã hố thơng điệp với thuật tốn mã hố khối……………………… 56 Khn dạng thơng điệp Alert………………………………………….56 Khuôn dạng thông điệp ChangeCipherSpec………………………… 57 Tổ hợp thông điệp Handshake ghi SSL……………… 58 Khuôn dạng thông điệp HelloRequest.……………………………… 59 Khuôn dạng thông điệp ClientHello………………………………… 59 Khuôn dạng thông điệp ServerHello………………………………… 60 Khuôn dạng thông điệp Certificate……………………………………60 Khuôn dạng thông điệp CertificateRequest………………………… 61 Khuôn dạng thông điệp ServerHelloDone…………………………….61 Khuôn dạng thông điệp ClientKeyExchange với RSA……………… 62 Khuôn dạng thông điệp CertificateVerify…………………………… 62 Khuôn dạng thông điệp Finished………………………………………63 Mơ hình hệ thống truyền tệp………………………………………… 68 Sơ đồ mối quan hệ giao thức thành phần SSLFTP………… 69 Sơ đồ khởi tạo phiên giao tiếp xác thực máy chủ tệp……….…… 70 Sơ đồ trình xác thực máy chủ tệp…………………………………72 Sơ đồ trình tạo Master secret SSLFTP…………………… 73 Sơ đồ q trình tạo khố phiên……………………………………… 74 Khuôn dạng thông điệp ghi SSLFTP…………………………… 75 Khuôn dạng thông điệp ClientHelloFTP………………………………76 Khuôn dạng thông điệp ServerHelloFTP…………………………… 76 Khuôn dạng thông điệp AuthenRequestFTP………………………… 77 Khuôn dạng thông điệp AuthenRespondFTP………………………….77 Khuôn dạng thông điệp ServerHelloDoneFTP……………………… 78 Khuôn dạng thông điệp ClientKeyExchangeFTP…………………… 78 Khuôn dạng thông điệp FinishedFTP………………………………….78 Khuôn dạng thông điệp ChangeCipherSpecFTP………………………79 Khuôn dạng thông điệp AlertFTP…………………………………… 79 Sơ đồ tính tốn MAC SSLFTP………………………………….80 Bảo vệ thơng điệp với MAC………………………………………… 81 Sơ đồ hoạt động module chương trình máy chủ xác thực……81 Sơ đồ hoạt động module chương trình máy chủ tệp………….82 Hình 3.21 Hình 3.22 Hình 3.23 Hình 3.24 Sơ đồ hoạt động module chương trình máy khách………… 83 Giao diện chương trình máy chủ xác thực……………………… 84 Giao diện chương trình máy chủ tệp…………………………… 84 Giao diện chương trình máy khách……………………………….85 MỞ ĐẦU Trong năm gần công nghệ thông tin phát triển cách nhanh chóng với nhiều loại hình dịch vụ phong phú đáp ứng yêu cầu ngày cao người Các hệ thống mạng truyền thông đại, máy tính cá nhân, mạng máy tính quốc gia, quốc tế Internet … làm cho quốc gia, công ty, cá nhân giới xích lại gần Thơng tin nhu cầu thiếu người dạng tài nguyên đặc biệt vô quý giá Nói đến thơng tin đồng thời nói đến giao lưu trao đổi bảo mật an tồn thơng tin, đặc biệt hệ thống truyền tin, mạng liệu mạng máy tính Có nhiều cách thức, phương pháp để bảo đảm an toàn cho thông tin, mạng riêng ảo giải pháp tốt cho vấn đề trao đổi thông tin qua mạng Mạng riêng ảo thực chất việc kết nối mạng quan, tổ chức sử dụng hạ tầng sở mạng công cộng Internet… Trong công nghệ thông tin, khoa học mạng truyền thông lĩnh vực đạt nhiều thành tựu ứng dụng nhiều lĩnh vực thương mại điện tử, ngân hàng, tài chính, hàng khơng… Những nghiên cứu góp phần đáng kể việc thúc đẩy xã hội phát triển nói chung ngành Cơng nghệ Thơng tin nói riêng Trên giới đặc biệt Châu Âu, Mỹ, công nghệ (cả phần cứng phần mềm) mạng truyền thông phát triển mạnh, chí số tài liệu cho đạt tới mức hồn thiện công nghiệp Việc nghiên cứu, triển khai mạng riêng ảo nước ta quan tâm, kết thu cịn hạn chế Luận văn “Cơng nghệ mạng riêng ảo SSL VPN ứng dụng xây dựng hệ thống truyền tệp” định hướng vào công nghệ xây dựng mạng riêng ảo SSL VPN thiết kế, triển khai hệ thống thực tế Nội dung luận văn bao gồm chương phần phụ lục Chương Trình bày tổng quan mạng riêng ảo: khái niệm, phân loại, yêu cầu mạng riêng ảo, Chương Trình bày công nghệ SSL việc xây dựng mạng riêng ảo SSL VPN bao gồm cấu trúc, nguyên lý hoạt động, vấn đề an ninh Chương Đề xuất mơ hình truyền tệp dựa cơng nghệ SSL, thiết kế, cài đặt thử nghiệm Ngoài ba chương chính, bố cục luận văn cịn có phần Mở đầu, Kết luận Tài liệu tham khảo Phần kết luận nêu tóm tắt vấn đề trình chương, đánh giá kết đạt chưa đạt được, đồng thời đưa định hướng nghiên cứu, phát triển Phần phụ lục mơ tả thuật tốn sử dụng hệ thống bao gồm thuật toán mã hoá khoá đối xứng AES, thuật toán băm MD5, định nghĩa cấu trúc thông điệp giao thức SSLFTP bảng liệt kê CipherSuite dùng giao thức SSL 3.0 74 `A` Giá trị bí mật `BB` Số ngẫu nhiên Số ngẫu nhiên máy khách máy chủ tệp Giá trị bí mật Số ngẫu nhiên Số ngẫu nhiên máy khách máy chủ tệp MD5 Master Secret MD5 MD5 Master Secret MD5 Hash Hash Khố tính tốn Khố mã hố mã xác thực liệu Hình 3.6 Sơ đồ trình tạo khố phiên Khố mã hố khố tính tốn mã xác thực chuỗi 16 byte băm lần hàm băm MD5 mô tả qua đoạn giả mã Master Secret = MD5(Master secret + MD5(A`+ Master secret + Số ngẫu nhiên máy khách + Số ngẫu nhiên máy chủ)) + + MD5(Master secret + MD5(BB`+ Master secret + Số ngẫu nhiên máy khách + Số ngẫu nhiên máy chủ)) 3.4.5 Đóng gói gửi thơng điệp Q trình đóng gói gửi thơng điệp tầng ghi hồn tốn giống với trình giao thức SSL Sau phiên giao tiếp thiết lập, giao thức SSLFTPRecord đóng gói liệu, tính tốn giá trị MAC, mã hố liệu gửi nên đường truyền 3.4.6 Các thuật toán sử dụng hệ thống Do SSLFTP giao thức cải tiến từ giao thức SSL nên thuật tốn sử dụng SSLFTP khơng hồn tồn giống với thuật tốn sử dụng SSL Trong khuôn khổ luận văn tác giả cài đặt hết thuật toán sử dụng giao thức SSLFTP, nhiên giao thức thiết kế mở, ta dễ dàng bổ sung thêm thuật tốn mà khơng làm thay đổi đến hoạt động giao thức 75 SSLFTP thiết kế với thuật tốn mã hố khố cơng khai RSA dùng cho việc trao đổi khoá, thuật toán băm MD5 dùng cho q trình tính tốn MAC tạo khoá phiên, thuật toán mã hoá khoá đối xứng AES ([18], [19]) dùng cho q trình mã hố giải mã liệu trao đổi hệ thống Với việc sử dụng AES hiệu suất hệ thống nâng cao đáng kể, đồng thời đảm bảo tính an toàn liệu đường truyền Thực nghiệm cho thấy tốc độ độ mật AES cao so với thuật toán mã hoá 3DES 3.5 Thiết kế thông điệp trao đổi liệu 3.5.1 Khuôn dạng thông điệp giao thức ghi SSLFTP Khuôn dạng thông điệp trao đổi hai bên gồm hai phấn chính, phần tiêu đề phần nội dung mơ tả hình 3.7 Kiểu nội dung Độ dài Thơng điệp giao thức tầng Mã hố (tuỳ chọn) Mã xác thực thơng điệp (tuỳ chọn) Hình 3.7 Khuôn dạng thông điệp ghi SSLFTP Phần tiêu đề gồm hai trường, trường kiểu nội dung gồm byte, giá trị cho biết thơng điệp giao thức tầng đóng gói giao thức ghi SSLFTPRecord SSLFTP hỗ trợ kiểu thông điệp giao thức tầng trên, kiểu liệt kê bảng 3-2 Bảng 3-2: Các kiểu nội dung tầng ghi Giá trị trường Thông điệp giao thức tầng kiểu nội dung 20 Thông điệp giao thức ChangeCipherSpecFTP 21 Thông điệp giao thức AlertFTP 22 Thông điệp giao thức HandshakeFTP 23 Dữ liệu ứng dụng Trường độ dài gồm byte cho biết độ dài thông điệp giao thức tầng trên, giá trị trường không 214 Phần nội dung thông điệp giao thức tầng chuyển xuống, phần có độ dài khơng cố định, mã hố khơng Độ lớn phần nội dung không vượt 16KB 76 3.5.2 Khuôn dạng thông điệp giao thức tầng 3.5.2.1 Thông điệp giao thức SSLFTPHandshake Mỗi thông điệp giao thức SSLFTP Handshake gồm hai phần, phần tiêu đề phần nội dung Phần tiêu đề gồm hai trường: trường kiểu thông điệp trường độ dài thông điệp Trường kiểu thông điệp gồm byte chứa giá trị cho biết thông điệp cụ thể giao thức SSLFTPHandshake Bảng 3-3 liệt kê giá trị trường kiểu thông điệp Bảng 3-3: Các kiểu thông điệp SSLFTPHandshake Giá trị trường kiểu Ý nghĩa thông điệp Thông điệp ClientHelloFTP Thông điệp ServerHelloFTP 11 Thông điệp AuthenRequestFTP 12 Thông điệp AuthenRespondFTP 13 Thông điệp ServerHelloDoneFTP 14 Thông điệp ClientkKeyExchangeFTP 15 Thông điệp FinishedFTP Trường độ dài thông điệp gồm byte chứa giá trị cho biết độ dài nội dung thông điệp giao thức SSLFTPHandshake (1) Thông điệp ClientHelloFTP Cấu trúc thông điệp ClientHelloFTP mơ tả hình vẽ 3.8 Kiểu nội dung: 22 Kiểu thông điệp: Độ dài: 36 Độ dài thông điệp: 32 Giá trị ngẫu nhiên (32 bytes) Hình 3.8 Thông điệp ClientHelloFTP Kiểu nội dung: 22 Kiểu thông điệp: Độ dài: 36 Độ dài thông điệp: 32 Giá trị ngẫu nhiên (32 bytes) Hình 3.9 Thơng điệp ServerHelloFTP Giá trị trường kiểu nội dung 1, trường độ dài thông điệp 32 Phần nội dung thông điệp gồm số ngẫu nhiên 32 byte (2) Thông điệp ServerHelloFTP 77 Cấu trúc thông điệp ServerHelloFTP mô tả hình 3.9 Trường kiểu thơng điệp có giá trị 2, trường độ dài thơng điệp có giá trị 32 phần nội dung giá trị ngẫu nhiên 32 byte (3) Thông điệp AuthenRequestFTP Thông điệp AuthenRequestFTP mơ tả hình 3.10 Kiểu nội dung: 22 Kiểu thông điệp: 11 Độ dài: Độ dài thông điệp: Hình 3.10 Khn dạng thơng điệp AuthenRequestFTP Trường kiểu thơng điệp có giá trị 11, trường độ dài có giá trị 0, phần nội dung thơng điệp rỗng (4) Thông điệp AuthenRespondFTP Nội dung thông điệp AuthenRespond mơ tả hình 3.11 Kiểu nội dung: 22 Kiểu thông điệp: 12 Độ dài thay đổi Độ dài thông Type: 14thay đổi điệp: Giá trị băm (16 byte) ……… Giá trị băm n (16 byte) Hình 3.11 Khn dạng thơng điệp AuthenRespondFTP Trường kiểu thơng điệp có giá trị 12, trường độ dài thơng điệp có giá trị phụ thuộc vào số máy chủ tệp mà máy chủ xác thực quản lý Phần nội dung chứa danh sách thông tin dùng để xác thực, phần tử danh sách gồm 16 byte giá trị tên máy khố cơng khai tương ứng danh sách mà máy chủ tệp quản lý (5) Thông điệp ServerHelloDoneFTP Cấu trúc thông điệp ServerHelloDoneFTP mô tả hình 3.12 78 Kiểu nội dung: 22 Kiểu thông điệp: 13 Độ dài: Độ dài thông điệp: Hình 3.12 Khn dạng thơng điệp ServerHelloDoneFTP Trường kiểu thơng điệp có giá trị 13, trường độ dài có giá trị phần nội dung rỗng (6) Thông điệp ClientKeyExchangeFTP Khuôn dạng thông điệp mô tả hình 3.13 Kiểu nội dung: 22 Độ dài: 51 Kiểu thông Độ dài thông 14 46 điệp: 14 Type:điệp: Giá trị bí mật mã hố (46 byte) Hình 3.13 Thơng điệp ClientKeyExchangeFTP Trường kiểu thơng điệp có giá trị 14, độ dài thông điệp 46 Phần nội dung thông điệp 46 byte giá trị bí mật mã hố khố cơng khai máy chủ tệp (7) Thông điệp Finished Khuôn dạng thông điệp mơ tả hình 3.14 Kiểu nội dung: 22 Kiểu thông điệp: 15 Độ dài: 35 Độ dài thông điệp: 16 Giá trị băm nội dung thông điệp gửi (16 bytes) Mã xác thực thông điệp (16 bytes) Hình 3.14 Khn dạng thơng điệp Finished Được mã hố 79 Trường kiểu thơng điệp có giá trị 15, trường độ dài có giá 16 Phần nội dung 16 byte giá trị băm MD5 tất thông điệp gửi pha bắt tay Thơng điệp Finished mã hố thuật tốn khố phiên tạo 3.5.2.2 Thơng điệp giao thức SSLFTPChangeCipherSpec Giao thức SSLFTPChangeCipherSpec dùng để báo hiệu thay đổi trạng thái tham số bảo mật, đồng thời bên kích hoạt dịch vụ bảo mật thương lượng Thông điệp ChangeCipherSpecFTP đơn giản, gồm byte với giá trị Kiểu nội dung: 22 Độ dài: Nội dung: Hình 3.15 Khn dạng thơng điệp ChangeCipherSpecFTP 3.5.2.3 Thơng điệp giao thức SSLFTPAlert Giao thức AlertFTP dùng để thông báo lỗi xảy bên trình giao tiếp Thơng điệp Alert đóng gói giao thức ghi SSLFTP, phần tiều đề tầng ghi, thông điệp AlertFTP gồm trường mô tả lỗi Kiểu nội dung: 21 Độ dài: Mô tả lỗi: Hình 3.16 Khn dạng thơng điệp AlertFTP Trường mơ tả lỗi nhận giá trị bảng 3-4 Bảng 3-4: Các thông báo lỗi giao thức AlertFTP Giá trị Ý nghĩa 10 Bên gửi cho biết nhận thơng điệp sai 20 Bên gửi cho biết nhận thơng điệp với mã xác thực bị sai 30 Bên gửi thơng báo nhận thơng điệp, khơng giải mã 40 Bên gửi chó biết khơng thể thương lượng tập dịch vụ an ninh Phần khai cấu trúc thông điệp trao đổi hệ thống ngơn ngữ lập trình cụ thể mơ tả phần phụ lục D cuối luận văn 3.6 Bảo vệ thông điệp 80 Các thông điệp bảo vệ thơng qua mã hố tính tốn mã xác thực Một mã xác thực bổ sung vào thông điệp trước truyền Tại nơi nhận, liệu giải mã, loại b mã xác thực, tính toán mã xác thực so sánh với mã xác thực liệu gửi kèm Nếu hai giá trị giống nhau, liệu không bị thay đổi đường truyền Ngược lại, liệu bị thay đổi đường truyền 3.6.1 Tính tốn m xác thực thơng điệp Hệ thống sử dụng hàm băm MD5 vào việc tính tốn mã xác thực thơng điệp MAC, giá trị MAC tạo có độ dài 16 byte bổ sung vào đoạn liệu Q trình tính tốn MAC thực qua giai đoạn: Giai đoạn khố tính tốn mã xác thực, số thứ tự thông điệp nội dung thông điệp cho qua hàm băm MD5 để tạo tóm lược liệu vào Giai đoạn khố tính tốn mã xác thực thông điệp với giá trị băm giai đoạn cho qua hàm băm MD5 lần Kết băm giai đoạn hai giá trị MAC bổ sung vào thông điệp để kiểm tra tính tồn vẹn liệu Các giai đoạn thể qua hình vẽ 3.17 Khố tính Số thứ tự mã xác thực thông điệp Nội dung thơng điệp MD5 Khố tính mã xác thực Giá trị băm MD5 MAC Hình 3.17 Sơ đồ tính tốn MAC SSLFTP Số thứ tự thông điệp số thông điệp mà hai bên trao đổi, giá trị khởi đầu với thơng điệp ChangeCipherSpecFTP, giá trị tăng thêm thông điệp giao thức ghi SSLFTP gửi 3.6.2 M hố liệu 81 Sau tính tốn bổ sung mã xác thực tệp liệu, liệu mã xác thực mã hoá thuật toán mã hoá khoá đối xứng AES với độ dài khoá 128 bit Chi tiết thuật toán mã hoá AES xem phụ lục A cuối luận văn Thơng điệp sau bổ sung MAC mã hoá có dạng hình 3.18 Kiểu nội dung: 23 Độ dài Dữ liệu ứng dụng Được mã hoá Mã xác thực (16 byte) Hình 3.18 Bảo vệ thơng điệp với MAC 3.7 Thiết kế module chương trình Chương trình viết ngơn ngữ lập trình Visual Basic, cơng cụ giao tiếp điều khiển Winsock hoạt động dựa kết nối TCP Trong khuôn khổ luận văn tác giả trình bày lưu đồ thuật tốn hoạt động module chương trình hệ thống, phần mã nguồn xem chi tiết chương trình Tồn hệ thống gồm module sau: 3.7.1 Module chương trình máy chủ xác thực Module chương trình máy chủ xác thực làm nhiệm vụ lắng nghe kết nối từ máy khách cung cấp thông tin xác thực cho máy khách Sơ đồ trình hoạt động module máy chủ xác thực mô tả hình 3.19 Nhận thơng điệp Kiểu nội dung =22 Sai Đúng Kiểu thông điệp =11 Đúng Gửi thông điệp AuthenRespondFTP Sai Gửi thơng điệp AlertFTP Hình 3.19 Sơ đồ hoạt động module chương trình máy chủ xác thực 82 Khi có yêu cầu xác thực từ máy khách, máy chủ xác thực kiểm tra thông điệp máy khách gửi Nếu kiểu nội dung 22 (thông điệp giao thức bắt tay) kiểu thơng điệp 11 (thơng điệp AuthenRequest) máy chủ xác thực tính tốn giá trị băm từ thơng tin mà quản lý đóng gói thơng điệp AuthenRespond gửi cho máy khách Ngược lại, máy chủ xác thực gửi trả lại máy khách thông báo lỗi nhận thơng điệp mà khơng hiểu 3.7.2 Module chương trình máy chủ tệp Module chương trình máy chủ tệp thực nhiệm vụ khởi tạo phiên giao tiếp với máy khách, thiết lập kết nối trao đổi liệu với máy khách Hoạt động module máy chủ tệp mô tả hình vẽ 3.20 Nhận thơng điệp Kiểu nội dung =20 Đúng Kích hoạt dịch vụ mã hố Sai Kiểu nội dung =21 Đúng Đóng kết nối Gửi thông điệp ServerHelloDoneFTP Sai Kiểu nội dung =22 Kiểu thông điệp =1 Sai Đúng Đúng Gửi thông điệp AuthenRequestFTP Sai Kiểu thông điệp =14 Kiểu nội dung =23 Đúng Tạo khố phiên Gửi thơng điệp FinishedFTP Sai Sai Kiểu thơng điệp =15 Giải mã liệu Đúng Sai Tính tốn MAC So sánh MAC Kiểm tra tính tồn vẹn Đúng Gửi thông điệp ChangeCipherSpecFTP Sai Gửi thông điệp AlertFTP Đúng Xử lý liệu Sai Hình 3.20 Sơ đồ hoạt động module chương trình máy chủ tệp Khi nhận thơng điệp từ máy khách phân tích kiểu nội dung kiểu thơng điệp nhận có bước xử lý dựa sơ đồ hình 3.20 3.7.3 Module máy khách Module chương trình máy khách thực việc phân tích thông điệp nhận từ máy chủ tệp máy chủ xác thực Dựa kết phân tích từ có hành động Sơ đồ hoạt động mơ tả hình 3.21 83 Nhận thơng điệp Kiểu nội dung =20 Đúng Kích hoạt dịch vụ mã hoá Sai Kiểu nội dung =21 Đúng Đóng kết nối Gửi thơng điệp FinishedFTP Sai Kiểu nội dung =22 Sai Đúng Kiểu thông điệp =13 Đúng Gửi thơng điệp ChangeCipherSpecFTP Gửi thơng điệp AuthenRequestFTP Tạo khố phiên Sai Kiểu nội dung =23 Kiểu thông điệp =12 Đúng Xác thực máy chủ tệp Thành công ? Sai Sai Kiểu thông điệp =15 Giải mã liệu Đúng Gửi thơng điệp ClientKeyExchangeFTP Sai Đúng Kiểm tra tính tồn vẹn Sai Gửi thơng điệp AlertFTP Đóng kết nối Đúng Sai Tính tốn MAC So sánh MAC Tính tốn MAC Mã hoá liệu Đúng Sai Xử lý liệu Gửi liệu mã hoá Sai Đúng Gửi hết ? Kết thúc Hình 3.21 Sơ đồ hoạt động module chương trình máy khách 3.8 Cài đặt thử nghiệm Để hệ thống vận hành đảm bảo hiệu cần máy tính nối Internet, cấu hình máy tính sau: vi xử lý Pentium IV 3.0 GHz, 512 MB Ram, ổ cứng 30 GHz…Do điều kiện hạn chế nên khuôn khổ luận văn tác giả cài đặt thử nghiệm hệ thống máy tính kết nối mạng LAN với máy cài đặt hệ điều hành Windows XP 3.8.1 Cài đặt máy chủ xác thực Sau cài đặt giao diện module chương trình máy chủ xác thực có dạng hình 3.22 Nút lệnh Form thực hành động lắng nghe ngừng lắng nghe kết nối từ máy khách Hộp text box có giá trị 8866 số hiệu cổng mà máy chủ xác thực nghe Phía bảng trạng thái, hàng tương ứng với trạng thái máy khách kết nối bao gồm số định danh kết nối (ID), trạng thái kết nối (Connected Listening) địa IP máy khách kết Địa IP máy khách thử nghiệm 192.168.0.20, máy chủ xác thực 192.168.0.10 máy chủ tệp 192.168.0.5 84 Hình 3.22 Giao diện chương trình máy chủ xác thực 3.8.2 Cài đặt máy chủ tệp Giao diện module chương trình máy chủ tệp có dạng hình 3.23 Hộp textbox có giá trị 8866 cho biết số hiệu cổng mà máy chủ tệp lắng nghe Nút lệnh thực việc lắng nghe kết thúc việc lắng nghe kết nối từ má khách Phía bảng trạng thái kết nối hộp danh sách tệp gửi Trường ID số hiệu máy khách kết nối, Remote địa IP máy khách kết nối, File Name tên tệp mà máy khách gửi, Progress phần trăm kích thước tệp gửi Hình 3.23 Giao diện chương trình máy chủ tệp 85 3.8.3 Cài đặt máy khách Giao diện máy khách có dạng hình 3.24 Các thuộc tính kết nối tên máy chủ cổng mà máy khách muốn kết nối Nút lệnh Connect thực việc kết nối tới máy chủ tệp Khi máy khách kết nối tới máy chủ tệp, việc xác thực máy chủ tệp diễn thiết lập kết nối Nút lệnh Disconnect huỷ b kết nối tồn Phần khung cửa sổ cho phép chọn tệp đĩa cứng để gửi, mục File Name tên file gửi, nút lệnh Send File thực việc gửi file Phía trạng thái cho biết số byte gửi, tốc độ truyền thời gian thực Hình 3.24 Giao diện chương trình máy khách Trên số kết thực hệ thống Hệ thống chạy ổn định đáp ứng yêu cầu mô ph ng hoạt động hệ thống truyền tệp theo giao thức SSL, mức độ bảo mật hệ thống tốt Tuy nhiên, thời gian hạn chế nên việc tối ưu hoá hệ thống chưa đề cập đến nhiều, tốc độ hệ thống hệ thống chưa cao… 86 KẾT LUẬN Thực tiễn cho thấy ứng dụng mạng ngày phát triển, đặc biệt ứng dụng lĩnh vực thương mại, ngân hàng, tài chính, hàng khơng, an ninh, quốc phịng, Việc phát triển loại ứng dụng việc đảm bảo chất lượng dịch vụ cịn phải đảm bảo tính mật thông tin môi trường truyền thông SSL VPN giải pháp hiệu cho vấn đề quan tâm phát triển nhà phát triển ứng dụng ngày Luận văn: “Công nghệ mạng riêng ảo SSL VPN ứng dụng xây dựng hệ thống truyền tệp” thực với mục đích nghiên cứu đưa phương pháp cho vấn đề an ninh mạng nói chung hệ thống truyền tệp nói riêng đạt số kết sau:  Nắm khái niệm sử dụng mạng riêng ảo, yêu cầu kỹ thuật mơ hình mạng xây dựng mạng VPN  Nắm cấu trúc, nguyên tắc hoạt động giao thức SSL xây dựng mạng riêng ảo  Đề xuất, thiết kế cài đặt thử nghiệm ứng dụng truyền tệp hoạt động dựa giao thức SSLFTP  Thử nghiệm mơ hình đưa kết Hướng nghiên cứu tiếp theo:  Tiếp tục hoàn thiện hệ thống truyền tệp xây dựng để triển khai sử dụng hoạt động Ngành cơng an  Cải tiến thuật tốn mã hoá sử dụng hệ thống nhằm nâng cao hiệu quả, tính bảo mật hệ thống tối ưu hố mơ đun chương trình nhằm tương thích với hệ thống thông tin khác  Cải tiến thuật tốn sinh số ngẫu nhiên nhằm nâng cao tính bảo mật cho việc tạo khoá, hiệu hệ thống độ an toàn hệ thống  Nghiên cứu tối ưu hoá hệ thống mã hoá sử dụng hệ thống Ngày nay, lĩnh vực an ninh an toàn liệu ngày nhiều nhà khoa học quan tâm kết mà đạt Những thành tựu lĩnh vực mang lại cho thấy vị trí quan trọng nhiều lĩnh vực phát triển Cơng nghệ Thơng tin nói riêng kinh tế xã hội nói chung Trong phạm vi giới hạn đề tài lực hạn chế tác giả nên kết luận văn khiêm tốn, để ng nhiều khả nghiên cứu nhằm phát triển hồn thiện để đạt kết cao Tác giả mong góp ý bảo thầy giáo đồng nghiệp! 87 TÀI LIỆU THAM KHẢO Tiếng Việt Trần Công Hùng (2002), Kỹ thuật mạng riêng ảo, NXB Bưu Điện Thái Hồng Nhị, Phạm Minh Việt (2004), An tồn thơng tin, NXB Khoa học kỹ thuật Tiếng Anh Richard Deal (2005), The Complete Cisco VPN Configuration Guide, Cisco Press James Henry Carmouche, Ipsec Virtual Private Network Fundamentals, Cisco Press Ebook – Cisco Access VPN Solutions Using Tunneling Technologies, Cisco Press Stephen A.Thomas, SSL and TLS Essentials, Wiley Meeta Gupta (2003), Building a Virtual Private Network, Premier Press By Gert De Laet, Gert Schauwers (2004), Network Security Fundamentals, Cisco Press Franck Martin (2002), SSL Certificates Howto 10.Chartlei Hosner (2004), OpenVPN and the SSL Revolution 11.Cisco systems(2002), Introduction to Secure Socket Layer, White Page 12.Kipp E B Hickman The SSL Protocol, Veraion 2.0 Netscape Communications, 1995, http://wp.netscape.com/eng/security/SSL2.html (2003) 13.A O Freier P Karlton and P C Kocher The SSL Protocol, Version 3.0 Netscape Communications, 1996, http://wp.netscape/eng/ssl3/draft302.txt (2003) 14.T Dierks and C Allen RFC2246, The TLS Protocol, Version 1.0 Network Working Group, 1999, ftp://ftp.rfc-editor.org/in-notes/rfc2246.txt (2003) 15.Eric Rescorla SSL and TLS, Designing and Building Secure Systems Addison Wesley, 2001, 3rd printing 16.H Krawczyk M Bellare and R Canetti HMAC: Keyed-Hashing for Message Authentication,RFC 2104 Network Working Group, 1997, ftp://ftp.rfceditor.org/innotes/rfc2104.txt (2003) 17.V Rijmen: The block cipher Rijndael http://www.esat.kuleuven.ac.be/ ~rijmen/rijndael/, (2001) 18.National Institute of Standards and Technology: Specification for the Advanced Encryption Standard (AES) http://csrc.nist.gov/publications/fips/fips197/fips197.pdf, (2001) 19.Virtual Private Networking: An Overview, (2001) http://www.microsoft.com/technet/prodtechnol/windows2000serv/plan/vpnoverv iew.mspx 88 20.Virtual Private Network http://www.d-link.co.za/pdf/7.%20D-Link%20 Virtual %20Private%20Network%20Self%20Study.pdf 21.Christopher McDonaldVirtual: Private Networks An overview http://www.intranetjournal.com/foundation/vpn-1.shtml 22.The VPN Overview http://searchnetworking.techtarget.com/searchNetworking/downloads/Buildvpn1.pdf 23.VPN Overview http://www.juniper.net/techpubs/software/junos/junos72/swconfig72-vpns /download/vpn-overview.pdf 24.Yinglam Cheung, 2003 Multi-Protocol Label Switching (MPLS) http://www.slb.com/media/services/consulting/infrastructure/mpls_whitepaper.pdf 25.R Rivest The MD-5 Message-Digest Algorithm, RFC 1321 John Wiley and Sons, 1996, ftp://ftp.rfc-editor.org/in-notes/rfc1321.txt (2003) 26.Michael Hayoz, Introducing SSL The Secure Sockets Layer Protocol http://diuf.unifr.ch/ds/michael.hayoz/docs/hayozm_ssl.pdf 27.Joseph Steinberg, Timothy Speed, SSL VPN, PACKT ... khai mạng riêng ảo nước ta quan tâm, kết thu hạn chế Luận văn ? ?Công nghệ mạng riêng ảo SSL VPN ứng dụng xây dựng hệ thống truyền tệp? ?? định hướng vào công nghệ xây dựng mạng riêng ảo SSL VPN thiết... Hình 1. 4 Hình 1. 5 Hình 1. 6 Hình 1. 7 Hình 1. 8 Hình 1. 9 Hình 1. 10 Hình 1. 11 Hình 1. 12 Hình 1. 13 Hình 1. 14 Hình 1. 15 Hình 1. 16 Hình 1. 17 Hình 1. 18 Hình 1. 19 Hình 2 .1 Hình 2.2 Hình 2.3 Hình 2.4 Hình... giả trình bày cơng nghệ mạng riêng ảo SSL VPN so sánh công nghệ với công nghệ sử dụng rộng rãi cơng nghệ mạng riêng ảo IPSec 34 Chương CÔNG NGHỆ MẠNG RIÊNG ẢO SSL VPN 2 .1 Giới thiệu Ngày nay,