ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN ĐÌNH NGHĨA CƠNG NGHỆ MẠNG RIÊNG ẢO SSL VPN VÀ ỨNG DỤNG TRONG XÂY DỰNG HỆ THỐNG TRUYỀN TỆP Chuyên ngành: Công nghệ thông tin Mã số : 1.01.10 LUẬN VĂN THẠC SỸ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN VĂN TAM Hà Nội - 2006 MỤC LỤC Lời cảm ơn Lời cam đoan Mục lục ……………………………………………… ………………………… Danh mục chữ viết tắt, thuật ngữ.…………………………………… …… Danh mục hình vẽ.………………………………………………………… …5 Mở đầu………………………………………………………………………… ….8 Chương Tổng quan mạng riêng ảo……………………………………… 10 1.1 Khái niệm chung mạng riêng ảo………………………………………….10 1.2 Phân loại mạng riêng ảo…………………………………………………….12 1.2.1 Phân loại VPN theo việc cung cấp dịch vụ…………………………….12 1.2.2 Phân loại VPN theo kỹ thuật sử dụng VPN………………………16 1.2.3 Phân loại VPN theo nhóm chức năng………………………………….16 1.2.4 Phân loại VPN theo nhóm cơng nghệ mơ hình OSI……………… 18 1.2.5 Phân loại VPN theo nơi xử lý VPN……………………………………18 1.3 Các thành phần mạng riêng ảo………………………………………….19 1.3.1 Máy chủ phục vụ truy cập mạng NAS…………………………………19 1.3.2 Bộ định tuyến………………………………………………………… 19 1.3.3 Máy nguồn máy đích đường hầm………………………………… 19 1.3.4 Máy chủ phục vụ xác thực……………………………………….…….20 1.3.5 Tường lửa - Firewall……………………………………………………20 1.3.6 Máy chủ sách…………………………………………………….21 1.3.7 VPN Gateway………………………………………………………… 21 1.4 Đường hầm VPN…………………………………………………… 21 1.4.1 Khái niệm đường hầm…………………………………………….……21 1.4.2 Các giao thức đường hầm…………………………………………… 22 1.5 Các yêu cầu VPN………………………………………… 29 1.5.1 Xác thực VPN……………………………………………………29 1.5.2 Tính bí mật liệu VPN…………………………………….… 32 1.5.3 Tính tồn vẹn liệu VPN………………………………………32 1.6 Kết luận chương…………………………………………………………….33 Chương Công nghệ mạng riêng ảo SSL VPN……………………………… 34 2.1 Giới thiệu……………………………………………………………………34 2.1.1 Lịch sử phát triển giao thức SSL………………………………… 34 2.1.2 SSL mơ hình OSI………………………………………………… 35 2.2 Các khái niệm an ninh sử dụng SSL……………………………36 2.2.1 Mã hoá……………………………………………………………… 36 2.2.2 Hàm băm tóm lược thơng điệp…………………………………37 2.2.3 Mã xác thực thơng điệp……………………………………………… 38 2.2.4 Mã hố khóa cơng khai chữ ký điện tử…………………………… 38 2.2.5 Chứng số quan cung cấp chứng số………………………39 2.3 Giao thức đường hầm SSL………………………………………………….40 2.3.1 Giao thức bắt tay SSL…………………………….……………………40 2.3.2 Giao thức ghi SSL…………………………………………………53 2.3.3 Giao thức cảnh báo SSL……………………………………………….56 2.3.4 Giao thức ChangeCipherSpec………………………………………….57 2.3.5 Khuôn dạng thông điệp giao thức bắt tay………………………….58 2.4 Thiết lập đường hầm SSL VPN………………………………………63 2.5 So sánh SSL VPN IPSec VPN………………………………………… 64 2.6 Kết luận chương…………………………………………………………….66 Chương Xây dựng hệ thống truyền tệp dựa hoạt động giao thức SSL…67 3.1 Phát biểu toán……………………………………………………………67 3.2 Thiết kế hệ thống……………………………………………………………68 3.3 Giao thức trao đổi liệu SSLFTP……………………………………… 69 3.4 Nguyên tắc hoạt động hệ thống…………………………………………69 3.4.1 Khởi tạo phiên giao tiếp……………………………………………… 69 3.4.2 Các thông điệp trao đổi pha thiết lập liên kết.………………… 71 3.4.3 Xác thực máy chủ tệp ……………………………………………… 72 3.4.4 Tạo tham số phiên.…………………………………………………73 3.4.5 Đóng gói gửi thơng điệp…………………………………………….74 3.4.6 Các thuật toán sử dụng hệ thống……………………………… 74 3.5 Thiết kế thông điệp trao đổi liệu…………………………………….75 3.5.1 Khuôn dạng thông điệp giao thức ghi SSLFTPRecord……….75 3.5.2 Khuôn dạng thông điệp giao thức tầng trên……………………75 3.6 Bảo vệ thơng điệp……………………………………………………….79 3.6.1 Tính tốn mã xác thực thơng điệp…………………………………… 80 3.6.2 Mã hố liệu…………………………………………………………80 3.7 Thiết kế module chương trình………………………………………………81 3.7.1 Module máy chủ xác thực.……………………………………… 81 3.7.2 Module máy chủ tệp.…………………………………………… 82 3.7.3 Module máy khách ……………………………………………….82 3.8 Cài đặt thử nghiệm………………………………………………………….83 3.8.1 Cài đặt máy chủ xác thực………………………………………….83 3.8.2 Cài đặt máy chủ tệp……………………………………………….84 3.8.3 Cài đặt máy khách.……………………………………………… 85 Kết luận chung……………………………………………………………………87 Tài liệu tham khảo……………………………………………………………….88 Phụ lục Phụ lục A Phụ lục B Phụ lục C Phụ lục D Phụ lục E Phụ lục F DANH MỤC CÁC TỪ VIẾT TẮT, THUẬT NGỮ TRONG LUẬN VĂN AH CHAP CA DES FEP ESP GRE HDLC IETF IPSec IPSec VPN L2F L2TP LCP LDAP MAC Message Digest MPLS MPPE NAS NAT NCP PAP PIN PoP PKC PPP PPTP RAS RC2, RC4 SKC SSL SSL VPN SP TLS VPN Authentication Header Challenge Handshake Authentication Protocol Certification Authority Data Encryption Standard Front-End-Processor Encapsulating Security Payload Generic Routing Encapsulation High-Level Data Link Control Internet Engineering Task Force Internet Protocol Security Mạng riêng ảo sử dụng công nghệ IPSec Layer Forwarding Layer Tunneling Protocol Link Control Protocol Lightweight Directory Access Protocol Message Authentication Code Bản tóm lược thơng điệp Multi Protocol Label Switching Microsoft Point to Point Encryption Network Access Server Network Address Translation Network Control Protocol Password Authentication Protocol Personal Identification Number Point of Presence Public Key Cryptography Point to Point Protocol Point to Point Tunneling Protocol Remote Access Server Rivest's Cipher or Ron's Code Secret Key Cryptography Secure Socket Layer Mạng riêng ảo sử dụng công nghệ SSL Service Provider Transport Layer Security Virtual Private Network DANH MỤC CÁC HÌNH VẼ TRONG LUẬN VĂN Hình 1.1 Hình 1.2 Hình 1.3 Hình 1.4 Hình 1.5 Hình 1.6 Hình 1.7 Hình 1.8 Hình 1.9 Hình 1.10 Hình 1.11 Hình 1.12 Hình 1.13 Hình 1.14 Hình 1.15 Hình 1.16 Hình 1.17 Hình 1.18 Hình 1.19 Hình 2.1 Hình 2.2 Hình 2.3 Hình 2.4 Hình 2.5 Hình 2.6 Hình 2.7 Hình 2.8 Hình 2.9 Hình 2.10 Hình 2.11 Hình 2.12 Hình 2.13 Hình 2.14 Hình 2.15 Hình 2.16 Mơ hình VPN……………….….………………………………… 11 Mối quan hệ Router………………………………………… 12 Triển khai Overlay VPN tầng 1………………… ……………………13 Triển khai Overlay VPN tầng 2.……… …… ………………………13 Triển khai Overlay VPN tầng 3…………… …………………………13 Mơ hình mạng MPLS VPN………………………… ……………… 15 Remote Access VPN………………………………… ………………17 Site to Site VPN……………………….……………….………………18 VPN theo nơi xử lý……………………………… ………………… 19 Đường hầm VPN…………………………… ….…… .22 Phiên PPTP với máy khách PPP……………………………………….23 Phiên PPTP với máy khách PPP giao thức PPTP………………… 24 Các thao tác PPTP…………………………………………………… 24 Cấu trúc gói tin điều khiển giao thức PPTP…………………… 25 Cấu trúc gói tin liệu người dùng PPTP………………………25 Chế độ đường hầm bắt buộc L2TP…………………………………….26 Chế độ đường hầm chủ động L2TP……………………………………26 Cấu trúc gói tin điều khiển giao thức L2TP……………… 27 Cấu trúc gói tin liệu người dùng L2TP………………………27 Sơ đồ mối quan hệ SSL mơ hình OSI………….…………… 35 Sơ đồ mối quan hệ SSL giao thức khác………………… 36 Sơ đồ hệ thống mã hoá khoá đối xứng ……………………………… 37 Sơ đồ hệ thống mã hố khố cơng khai …………………… ……… 37 Sơ đồ xác thực liệu dùng chữ ký điện tử………………………… 39 Sơ đồ trình bắt tay không xác thực máy khách SSL…… 41 Sơ đồ q trình bắt tay có xác thực máy khách SSL……………43 Sơ đồ trình cập nhật trạng thái phiên máy khách………………46 Sơ đồ trình cập nhật trạng thái phiên máy chủ……………… 47 Sơ đồ xác thực máy chủ giao thức SSL………………………….49 Sơ đồ xác thực máy khách giao thức SSL………………………50 Sơ đồ trình tạo Master secret SSL………………………… 51 Sơ đồ trình tạo Key material SSL………………………… 52 Sơ đồ sinh khoá từ Key material………………………………………52 Các bước xử lý liệu giao thức ghi SSL………………… 53 Khuôn dạng thơng điệp ghi SSL………………………………… 53 Hình 2.17 Hình 2.18 Hình 2.19 Hình 2.20 Hình 2.21 Hình 2.22 Hình 2.23 Hình 2.24 Hình 2.25 Hình 2.26 Hình 2.27 Hình 2.28 Hình 2.29 Hình 2.30 Hình 2.31 Hình 2.32 Hình 2.33 Hình 3.1 Hình 3.2 Hình 3.3 Hình 3.4 Hình 3.5 Hình 3.6 Hình 3.7 Hình 3.8 Hình 3.9 Hình 3.10 Hình 3.11 Hình 3.12 Hình 3.13 Hình 3.14 Hình 3.15 Hình 3.16 Hình 3.17 Hình 3.18 Hình 3.19 Hình 3.20 Bảo vệ thơng điệp với thuật tốn MD5……………………………… 54 Bảo vệ thơng điệp với thuật tốn SHA…………………………………54 Sơ đồ tính tốn MAC SSL………………………………………55 Mã hố thơng điệp với thuật tốn mã hố dịng……………………….56 Mã hố thơng điệp với thuật tốn mã hố khối……………………… 56 Khn dạng thơng điệp Alert………………………………………….56 Khuôn dạng thông điệp ChangeCipherSpec………………………… 57 Tổ hợp thông điệp Handshake ghi SSL……………… 58 Khuôn dạng thông điệp HelloRequest.……………………………… 59 Khuôn dạng thông điệp ClientHello………………………………… 59 Khuôn dạng thông điệp ServerHello………………………………… 60 Khuôn dạng thông điệp Certificate……………………………………60 Khuôn dạng thông điệp CertificateRequest………………………… 61 Khuôn dạng thông điệp ServerHelloDone…………………………….61 Khuôn dạng thông điệp ClientKeyExchange với RSA……………… 62 Khuôn dạng thông điệp CertificateVerify…………………………… 62 Khuôn dạng thông điệp Finished………………………………………63 Mơ hình hệ thống truyền tệp………………………………………… 68 Sơ đồ mối quan hệ giao thức thành phần SSLFTP………… 69 Sơ đồ khởi tạo phiên giao tiếp xác thực máy chủ tệp……….…… 70 Sơ đồ trình xác thực máy chủ tệp…………………………………72 Sơ đồ trình tạo Master secret SSLFTP…………………… 73 Sơ đồ q trình tạo khố phiên……………………………………… 74 Khuôn dạng thông điệp ghi SSLFTP…………………………… 75 Khuôn dạng thông điệp ClientHelloFTP………………………………76 Khuôn dạng thông điệp ServerHelloFTP…………………………… 76 Khuôn dạng thông điệp AuthenRequestFTP………………………… 77 Khuôn dạng thông điệp AuthenRespondFTP………………………….77 Khuôn dạng thông điệp ServerHelloDoneFTP……………………… 78 Khuôn dạng thông điệp ClientKeyExchangeFTP…………………… 78 Khuôn dạng thông điệp FinishedFTP………………………………….78 Khuôn dạng thông điệp ChangeCipherSpecFTP………………………79 Khuôn dạng thông điệp AlertFTP…………………………………… 79 Sơ đồ tính tốn MAC SSLFTP………………………………….80 Bảo vệ thơng điệp với MAC………………………………………… 81 Sơ đồ hoạt động module chương trình máy chủ xác thực……81 Sơ đồ hoạt động module chương trình máy chủ tệp………….82 Hình 3.21 Hình 3.22 Hình 3.23 Hình 3.24 Sơ đồ hoạt động module chương trình máy khách………… 83 Giao diện chương trình máy chủ xác thực……………………… 84 Giao diện chương trình máy chủ tệp…………………………… 84 Giao diện chương trình máy khách……………………………….85 MỞ ĐẦU Trong năm gần công nghệ thông tin phát triển cách nhanh chóng với nhiều loại hình dịch vụ phong phú đáp ứng yêu cầu ngày cao người Các hệ thống mạng truyền thông đại, máy tính cá nhân, mạng máy tính quốc gia, quốc tế Internet … làm cho quốc gia, công ty, cá nhân giới xích lại gần Thơng tin nhu cầu thiếu người dạng tài nguyên đặc biệt vô quý giá Nói đến thơng tin đồng thời nói đến giao lưu trao đổi bảo mật an tồn thơng tin, đặc biệt hệ thống truyền tin, mạng liệu mạng máy tính Có nhiều cách thức, phương pháp để bảo đảm an toàn cho thông tin, mạng riêng ảo giải pháp tốt cho vấn đề trao đổi thông tin qua mạng Mạng riêng ảo thực chất việc kết nối mạng quan, tổ chức sử dụng hạ tầng sở mạng công cộng Internet… Trong công nghệ thông tin, khoa học mạng truyền thông lĩnh vực đạt nhiều thành tựu ứng dụng nhiều lĩnh vực thương mại điện tử, ngân hàng, tài chính, hàng khơng… Những nghiên cứu góp phần đáng kể việc thúc đẩy xã hội phát triển nói chung ngành Cơng nghệ Thơng tin nói riêng Trên giới đặc biệt Châu Âu, Mỹ, công nghệ (cả phần cứng phần mềm) mạng truyền thông phát triển mạnh, chí số tài liệu cho đạt tới mức hồn thiện công nghiệp Việc nghiên cứu, triển khai mạng riêng ảo nước ta quan tâm, kết thu cịn hạn chế Luận văn “Cơng nghệ mạng riêng ảo SSL VPN ứng dụng xây dựng hệ thống truyền tệp” định hướng vào công nghệ xây dựng mạng riêng ảo SSL VPN thiết kế, triển khai hệ thống thực tế Nội dung luận văn bao gồm chương phần phụ lục Chương Trình bày tổng quan mạng riêng ảo: khái niệm, phân loại, yêu cầu mạng riêng ảo, Chương Trình bày công nghệ SSL việc xây dựng mạng riêng ảo SSL VPN bao gồm cấu trúc, nguyên lý hoạt động, vấn đề an ninh Chương Đề xuất mơ hình truyền tệp dựa cơng nghệ SSL, thiết kế, cài đặt thử nghiệm Ngoài ba chương chính, bố cục luận văn cịn có phần Mở đầu, Kết luận Tài liệu tham khảo Phần kết luận nêu tóm tắt vấn đề trình chương, đánh giá kết đạt chưa đạt được, đồng thời đưa định hướng nghiên cứu, phát triển Phần phụ lục mơ tả thuật tốn sử dụng hệ thống bao gồm thuật toán mã hoá khoá đối xứng AES, thuật toán băm MD5, định nghĩa cấu trúc thông điệp giao thức SSLFTP bảng liệt kê CipherSuite dùng giao thức SSL 3.0 ... thu hạn chế Luận văn ? ?Công nghệ mạng riêng ảo SSL VPN ứng dụng xây dựng hệ thống truyền tệp? ?? định hướng vào công nghệ xây dựng mạng riêng ảo SSL VPN thiết kế, triển khai hệ thống thực tế Nội dung... môi trường truyền thông SSL VPN giải pháp hiệu cho vấn đề quan tâm phát triển nhà phát triển ứng dụng ngày Luận văn: ? ?Công nghệ mạng riêng ảo SSL VPN ứng dụng xây dựng hệ thống truyền tệp? ?? thực... phụ lục Chương Trình bày tổng quan mạng riêng ảo: khái niệm, phân loại, yêu cầu mạng riêng ảo, Chương Trình bày công nghệ SSL việc xây dựng mạng riêng ảo SSL VPN bao gồm cấu trúc, nguyên lý hoạt