Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tƣợng kinh doanh. Sự khác nhau giữa VPN cục bộ và VPN mở rộng là sự truy nhập mạng đƣợc công nhận ở một trong hai đầu cuối của VPN.
Những ƣu điểm chính của mạng VPN mở rộng bao gồm:
- Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để cùng đạt đƣợc một mục đích nhƣ vậy;
- Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động.
- Do VPN mở rộng đƣợc xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của từng công ty;
- Các kết nối Internet đƣợc nhà cung cấp dịch vụ Internet bảo trì nên có thể giảm đƣợc số lƣợng nhân viên kỹ thuật hỗ trợ mạng, và do vậy giảm đƣợc chi phí vận hành của toàn mạng.
Bên cạnh những ƣu điểm trên, giải pháp VPN mở rộng cũng còn những nhƣợc điểm đi cùng nhƣ:
- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trƣờng mở rộng nhƣ vậy, và điều này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty;
- Khả năng mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại;
- Việc truyền khối lƣợng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫn còn là một thách thức lớn cần giải quyết. [1], [2], [3].
2.2.3 Các giao thức đảm bảo an toàn truyền tin
2.2.3.1. Giao thức SSL
Giao thức SSL của Netscape và giao thức truyền siêu văn bản an toàn (S-HTTP) của CommerceNet là hai giao thức cho phép truyền thông tin an toàn qua Internet. SSL và S-HTTP cho phép các máy khách và máy chủ quản lý các hoạt động mã hoá và giải mã trong một phiên Web an toàn.
SSL nằm ở đỉnh tầng TCP/IP của giao thức Internet, cung cấp một bắt tay an toàn, ở đó máy khách và máy chủ trao đổi một khối dữ liệu ngắn gọn các thông báo.
Khóa SSL có hai độ dài là 40 bit và 128 bit. Chúng chỉ ra độ dài của khoá phiên riêng, đƣợc sinh ra cho mọi giao dịch có mã hoá.
2.2.3.2. Giao thức SHTTP
S-HTTP là một mở rộng của HTTP, cung cấp một số đặc tính an toàn, trong đó có xác thực máy khách và máy chủ, mã hoá và chống chối bỏ yêu cầu/đáp ứng. Giao thức này đƣợc CommerceNet Consortium phát triển, hoạt động ở tầng ứng dụng. Nó cung cấp mã hoá đối xứng để thiết lập xác thực máy khách/máy chủ và các tóm lƣợc thông báo nhằm đảm bảo tính toàn vẹn dữ liệu. Máy khách và máy chủ có thể dùng các kỹ thuật S-HTTP một cách riêng lẻ.
S-HTTP thiết lập các chi tiết an toàn thông qua header (phần đầu trong gói tin) của gói đặc biệt. Header định nghĩa kiểu kỹ thuật an toàn, cụ thể là mã khoá riêng, xác thực máy chủ, xác thực máy khách và đảm bảo tính toàn vẹn thông báo.
Một khi máy khách và máy chủ thoả thuận đƣợc các thiết lập an toàn bắt buộc giữa chúng, tất cả các thông báo trong phiên giao dịch sau này đƣợc đóng gói an toàn trong một phong bì an toàn (secure envelope). Đây là một tiện ích an toàn đóng gói thông báo và đảm bảo tính bí mật, toàn vẹn và xác thực máy khách/máy chủ. Nhờ đó, mọi thông báo chuyển tiếp trên mạng hoặc Internet đƣợc mã hoá, không ai có thể đọc trộm. Mọi sửa đổi trên thông báo đều bị phát hiện, nhờ vào kỹ thuật toàn vẹn.
SHTTP cung cấp một mã phát hiện thông báo bị sửa đổi. Ngƣời ta dùng chứng chỉ số do một CA (Certificate authority - đƣợc công nhận) phát hành để xác thực các máy khách và máy chủ. Phong bì an toàn bao gồm tất cả các đặc tính an toàn trên.
2.2.3.3. Giao thức IPSec
IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP trong quá trình truyền thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực.
IPsec có một tính năng cao cấp hơn SSL và các phƣơng thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng dùng IPsec mã (code) không bị thay đổi, nhƣng nếu ứng dụng đó bắt buộc dùng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
IPsec đã đƣợc giới thiệu và cung cấp các dịch vụ bảo mật:
Mã hoá quá trình truyền thông tin.
Đảm bảo tính nguyên vẹn của dữ liệu.
Phải đƣợc xác thực giữa các giao tiếp.
Chống quá trình replay trong các phiên bảo mật.
2.2.3.4. Giao thức TCP/IP
Mã hóa và chữ ký số có thể bảo vệ các gói thông tin, tránh bị trộm cắp hoặc làm trễ. Tuy nhiên, TCP có trách nhiệm kiểm soát các gói tại các nút cuối. Phát hiện những thay đổi trên đƣờng truyền. Tại đích, khi lắp ráp các gói theo đúng trật tự ban đầu, nó phát hiện đƣợc ngay các gói bị mất, hay những gói không đúng cấu trúc. Trách nhiệm lúc này của TCP là yêu cầu máy khách gửi lại dữ liệu. Điều này có nghĩa là không có giao thức an toàn máy tính đặc biệt nào (ngoại trừ TCP/IP) đƣợc dùng nhƣ một biện pháp đối phó, chống tấn công từ chối.
TCP/IP là một hệ thống giao thức - một tập hợp các giao thức hỗ trợ việc lƣu truyền trên mạng. Ra đời trƣớc khi có mô hình OSI (International Standards Organization). Các tầng trong bộ giao thức TCP/IP không giống hệt các tầng trong OSI. Bộ giao thức TCP/IP có 5 tầng: vật lý, liên kết dữ liệu, mạng, giao vận và ứng dụng. Bốn tầng đầu tiên cung cấp các chuẩn vật lý giao tiếp mạng, liên mạng và chức năng giao vận tƣơng ứng với 4 tầng đầu tiên trong mô hình OSI. [1],[2],[4].
2.2.3.5. Giao thức bảo mật SET
Hiện nay, trong việc thanh toán qua mạng, các tổ chức tín dụng và các nhà cung cấp dịch vụ xử lý thanh toán thẻ tín dụng trên thế giới áp dụng công nghệ bảo mật cao cấp là SET (Secure Electronic Transaction).
- SET là một nghi thức tập hợp những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm bảo an toàn cho các giao dịch mua bán trên mạng. Đây là một kỹ thuật bảo mật, mã hóa đƣợc phát triển bởi VISA, MASTER CARD và các tổ chức khác trên thế giới. Mục địch của SET là bảo vệ hệ thống thẻ tín dụng, tạo cho khách hàng, doanh nghiệp, ngân hàng, các tổ chức tài chính sự tin cậy khi giao dịch mua bán trên Internet. - Ngoài ra, SET thiết lập một phƣơng thức hoạt động phối hợp tƣơng hỗ (method of interoperability) nhằm bảo mật các dịch vụ qua mạng trên các phần cứng và phần mềm khác nhau.
Một sự khác biệt điển hình giữa SET và SSL là SSL không bao gồm một chứng thực khách hàng yêu cầu phần mềm đặc biệt (đƣợc gọi là ví số - digital wallet) tại máy tính cá nhân của họ. SSL đƣợc thiết lập trong trình duyệt, do đó không cần một phần mềm đặc biệt nào. Trong khi đó, Visa và MasterCard chấp nhận các thông điệp chỉ khi chúng tuân thủ giao thức SET.
Tuy nhiên, SET không phổ biến nhanh nhƣ nhiều ngƣời mong đợi do tính phức tạp, thời gian phản hồi chậm, và sự cần thiết phải cài đặt ví số ở máy tính của khách hàng. Nhiều ngân hàng ảo và cửa hàng điện tử duy trì giao thức SSL, thậm chí một số cửa hàng điện tử, nhƣ Wal-Mart Online, đi theo cả hai giao thức SSL và SET. Ngoài ra, theo một cuộc khảo sát do Forrest Research thực hiện, chỉ có 1% kế hoạch kinh doanh điện tử di chuyển sang SET. [4],[15].
Tóm lại SET đƣợc thiết lập để bảo mật những thông tin về cá nhân cũng nhƣ thông tin về tài chính trong quá trình mua bán và giao dịch trên mạng.
2.2.4. Công nghệ xây dựng PKI
2.2.4.1. Công nghệ OpenCA
OpenCA là dự án đồ sộ, có mục đích xây dựng PKI hoàn chỉnh, chuyên nghiệp, OpenCA đƣợc phát triển liên tục từ năm 1999. Từ năm 2001, OpenCA đã bắt đầu đƣợc sử dụng cho các đơn vị cỡ vừa và lớn.
OpenCA sử dụng giao diện web, hỗ trợ hầu hết các web Browser chính, hỗ trợ sản phẩm mã nguồn mở.
Các Module chƣơng trình trong OpenCA.
-Giao tiếp công cộng: Giao diện web để ngƣời sử dụng có thể truy cập qua
Internet. Ngƣời dùng có thể đăng kí xin cấp chứng chỉ trực tiếp qua Module này. -Giao tiếp LDAP: Danh bạ các khoá công khai, ngƣời dùng lấy khoá công khai từ Module này để mã hoá tài liệu, trƣớc khi gửi đến đơn vị dùng openCA.
-Giao tiếp RA: Đơn vị điều hành RA sử dụng Module này để cập nhật các thông tin cá nhân của ngƣời xin cấp chứng chỉ.
-Giao tiếp OCSP: Module hỗ trợ kiểm tra chứng chỉ còn hiệu lực hay không. OCSP có tác dụng nhƣ việc công bố CRL, nhƣng tính năng ƣu việt hơn CRL.
-Giao tiếp CA: Module kí số riêng rẽ, cho phép CA làm theo nguyên tắc an ninh - tách biệt khỏi mạng công cộng, để bảo vệ tối đa khoá bí mật. Điều này khiến cho openCA trở nên an toàn hơn các phần mềm CA khác có trên thị trƣờng hiện nay.
Các tính năng ƣu việt khác của OpenCA, ngoài tính năng thiết yếu của PKI.
- Đăng nhập bằng chứng chỉ. - Hệ thống quản lý mềm dẻo.
- Sử dụng đƣợc các tính năng của X.509 mở rộng.
- OpenCA là phần mềm mã nguồn mở miễn phí, có tài liệu chi tiết đầy đủ. OpenCA đƣợc thiết kế cho một hạ tầng phân tán. Nó có thể không chỉ điều khiển một CA offline và một RA online, mà còn giúp ta xây dựng một cấu trúc thứ bậc với nhiều mức khác nhau. OpenCA không phải là một giải pháp nhỏ cho các nghiên cứu vừa và nhỏ. Nó hỗ trợ tối đa cho các tổ chức lớn nhƣ các trƣờng đại học, các công ty lớn.
2.2.4.2. Công nghệ SSL
SSL là giao thức đa mục đích, đƣợc thiết kế để tạo ra các giao tiếp giữa hai chƣơng trình ứng dụng trên một cổng định trƣớc (Socket 443), nhằm mã hoá toàn bộ thông tin gửi / nhận. Giao thức SSL đƣợc hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên cứu Netscape, dẫn dắt bởi Elgamal và nay đã trở thành chuẩn bảo mật cài đặt trên Internet.
SSL đƣợc thiết kế độc lập với tầng ứng dụng, để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ giữa Webserver và các trình duyệt (Browsers), do đó đƣợc sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trƣờng Internet.
Toàn bộ cơ chế và hệ thống thuật toán mã hoá trong SSL đƣợc phổ biến công khai, trừ khoá phiên (Session key) đƣợc sinh ra tại thời điểm trao đổi giữa hai ứng dụng là ngẫu nhiên và bí mật đối với ngƣời quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ngƣời dùng phải đƣợc chứng thực bởi đối tƣợng thứ ba (CA) thông qua chứng chỉ số (Digital Certificate) dựa trên mật mã công khai (ví dụ RSA).
Hình 2.10 : Vị trí SSL trong mô hình OSI
SSL đƣợc thiết kế nhƣ là một giao thức riêng cho vấn đề bảo mật, có thể hỗ trợ cho nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP / IP và bên dƣới các ứng dụng tầng cao hơn nhƣ là HTTP (HyperText Transfer Protocol), LDAP (Lightweight Directory Access Protocol) hoặc IMAP (Internet Messaging Access Protocol). Hiện nay SSL đƣợc sử dụng chủ yếu cho các giao dịch trên Web.
SSL cho phép một Server (có hỗ trợ SSL) tự xác thực với một Client (cũng hỗ trợ SSL), ngƣợc lại cho phép Client tự xác thực với Server. SSL cho phép cả hai máy thiết lập một kết nối đƣợc mã hoá.
- Chứng thực SSL Server: cho phép Client xác thực đƣợc Server muốn kết nối. Trình duyệt sử dụng kỹ thuật mã hóa công khai để chắc chắn rằng chứng chỉ và public ID của Server là có giá trị, đƣợc cấp phát bởi một CA (trong danh sách các CA tin cậy của Client).
- Chứng thực SSL Client: cho phép Server xác thực đƣợc Client muốn kết
nối. Server cũng sử dụng kỹ thuật mã hoá khoá công khai để kiểm tra chứng chỉ của Client và public ID là đúng, đƣợc cấp phát bởi một CA (trong danh sách các CA tin cậy của Server).
- Mã hoá kết nối: tất cả các thông tin trao đổi giữa Client và Server đƣợc mã
hoá trên đƣờng truyền, nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên, khi có các giao dịch mang tính riêng tƣ. Ngoài ra, tất cả các dữ liệu đƣợc gửi đi trên một kết nối SSL đã đƣợc mã hoá, còn đƣợc bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu.
Hai tầng trong Giao thức SSL.
- Record Protocol là tầng thấp nhất của SSL Nó đƣợc dùng để đóng gói một số giao thức ở mức cao hơn. Một trong những giao thức đƣợc đóng gói là SSL.
- Handshake Protocol là giao thức cho phép Server và Client xác thực lẫn
nhau. Chúng thoả thuận thuật toán mã hoá và khoá mật trƣớc khi thực hiện gửi hoặc nhận dữ liệu.
Ƣu điểm và hạn chế của SSL.
- Ưu điểm của SSL:
Tính năng mạnh nhất của SSL / TLS là chúng xác định được mối quan hệ với
các tầng giao thức khác trong hệ thống kiến trúc mạng OSI. Tại mức cao nhất là
phần mềm ứng dụng hoặc các trình duyệt. Chạy phía dƣới các ứng dụng này là giao thức tầng ứng dụng, bao gồm Telnet, FTP, HTTP…Bên dƣới nữa là giao thức SSL và các thuật toán mã hoá đƣợc sử dụng để kết nối. Bên dƣới SSL là tầng giao vận. Hầu hết các trƣờng hợp đó là TCP / IP.
Giao thức SSL là duy nhất không phụ thuộc vào giao thức mạng. SSL không phụ thuộc vào các tầng giao thức, cho nên SSL trở thành một nền tảng độc lập hay là một thực thể mạng độc lập.
Giao thức SSL ngăn chặn cách thức tấn công từ điển. Cách thức này sử dụng từ điển để phá khoá trong hệ mã hoá. SSL khắc phục đƣợc điều này bởi cho phép không gian khoá là rất lớn đối với hệ mã hoá đƣợc sử dụng. SSL cung cấp hai mức độ tin cậy: 40 bit và 128 bit tuỳ thuộc khả năng của browser. SSL 128 bit và SSL 40 bit: ý nói độ dài của khoá phiên dùng để mã hoá dữ liệu sau khi đã định danh và đƣợc thiết lập bằng giải thuật mã hóa khoá công khai (RSA hoặc Diffie-Hellman). Độ dài của khoá phiên càng lớn thì độ bảo mật càng cao. SSL 128 bit có độ tin cậy lớn, theo RSA phải mất hàng tỉ năm mới có thể giải mã đƣợc bằng các kỹ thuật hiện nay. Cách thức tấn công từ điển có thể bị ngăn chặn bởi sử dụng phƣơng pháp số nonce (nonce number). Số này đƣợc sinh ngẫu nhiên, đƣợc Server sử dụng, nonce number là một số không thể bị phá khoá.
Giao thức SSL bảo vệ chính nó với đối tác thứ 3. Đó là các Client xâm nhập bất hợp pháp dữ liệu trên đƣờng truyền. Client xâm nhập này có thể giả mạo Client hoặc Server, SSL ngăn chặn giả mạo này bằng cách dùng khoá riêng của Server và sử dụng chứng chỉ số. Phƣơng thức “Bắt tay” trong TLS cũng tƣơng tự. Tuy nhiên, TLS tăng cƣờng sự bảo mật bằng cách cho phép truyền phiên bản giao thức, số hiệu phiên làm việc, hệ mã hoá và cách thức nén đƣợc sử dụng. TLS bổ xung thêm hai thuật toán “băm” không có trong SSL.
- Hạn chế của SSL:
Giao thức SSL, giống nhƣ bất kỳ công nghệ nào, cũng có những hạn chế. Vì SSL cung cấp các dịch vụ bảo mật, ta cần quan tâm tới các giới hạn của nó. Giới hạn
của SSL thƣờng nằm trong ba trƣờng hợp sau:
Đầu tiên là do những ràng buộc cơ bản của bản thân giao thức SSL. Đây là hệ