Luận Văn Công nghệ IP-VPN

LỜI NÓI ĐẦU
Cùng với xu hướng IP hóa mạng viễn thông hiện nay, vấn đề đảm bảo an ninh cho dữ liệu khi truyền qua mạng IP là vấn đề mang tính chất tất yếu. Đối với các tổ chức có phạm vi hoạt động rộng khắp, nhân viên luôn di chuyển trong quá trình làm việc thì việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý hoạt động của mạng luôn được đặt ra, và IP-VPN là một giải pháp hiệu quả. Theo như dự đoán của nhiều hãng trên thế giới thì thị trường VPN sẽ là thị trường phát triển rất mạng trong tương lai.
Thực tế thì VPN không phải là một khái niệm mới. Nó được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng. Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng này.
Với IP-VPN, các doanh nghiệp sẽ giảm được chi phí cho vận hành, duy trì quản lý đơn giản, khả năng mở rộng tại các vùng địa lí khác nhau một cách linh hoạt và không hạn chế. Vấn đề an toàn của số liệu khi truyền bị phụ thuộc nhiều vào các giải pháp thực hiện IP-VPN của doanh nghiệp, ví dụ như giao thức đường ngầm sử dụng, các thuật toán mã hóa đi kèm và độ phức tạp của các thuật toán mã hóa này nhưng không phụ thuộc vào kiến trúc cơ sở hạ tầng của mạng viễn thông.
Mục đích của đồ án “Công nghệ IP-VPN” là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc thực hiện IP-VPN, nội dung cụ thể như sau:
Chương 1: Bộ giao thức TCP/IP. Chương này trình bày khái niệm của mô hình phân lớp bộ giao thức TCP/IP. Trong đó tập trung đến 2 lớp là lớp Internet và lớp vận chuyển. Đây là lớp giao thức nền tảng chung cho các thiết bị trong mạng Internet, là cơ sở quan trọng cho nền tảng các mạng dựa trên IP. Qua đấy chúng ta cũng nhận ra rằng mạng Internet nguyên thủy hoàn toàn không hỗ trợ các dịch vụ an ninh và IP-VPN là một trong giải pháp cho vấn đề an ninh Internet.
Chương 2: Công nghệ mạng riêng ảo trên Internet IP-VPN. Chương này bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm của nó để có thể trở thành một giải pháp có khả năng phát triển mạnh trên thị trường. Tiếp theo là trình bày về các khối chức năng cơ bản của IP-VPN, phân loại mạng riêng ảo theo cấu trúc của nó. Cuối cùng là trình bày về các giao thức đường ngầm sử dụng cho IP-VPN. Ở đây chỉ trình bày một cách khái quát nhất về hai giao thức đường ngầm hiện đang tồn tại và các sản phẩm tương đối phổ biến trên thị trường là PPTP và L2TP.
Chương 3: Giao thức IPSec cho IP-VPN. Chương này trình bày các vấn đề sau đây: thứ nhất là giới thiệu, khái niệm về giao thức IPSec và các chuẩn RFC có liên quan. Thứ hai, trình bày vấn đề đóng gói thông tin IPSec, cụ thể là hai giao thức đóng gói là AH (nhận thực tiêu đề) và ESP (đóng gói an toàn tải tin). Thứ ba, trình bày về kết hợp an ninh SA và giao thức trao đổi khóa IKE để thiết lập các chính sách và tham số cho kết hợp an ninh giữa các bên VPN. Thứ tư, giới thiệu về các giao thức đang tồn tại ứng dụng cho IPSec, bao gồm có: mật mã bản tin, toàn vẹn bản tin, nhận thực các bên và quản lý khóa. Cuối cùng là một ví dụ về IP-VPN sử dụng giao thức đường ngầm IPSec.
Chương 4: An toàn dữ liệu trong IP-VPN. Nội dung của chương này là một số thuật toán được áp dụng để đảm bảo an toàn dữ liệu cho IP-VPN dựa trên IPSec. Đối với vấn đề an toàn dữ liệu có 2 vấn đề chính đó là mật mã dữ liệu và xác thực dữ liệu. Đối với mật mã dữ liệu, tồn tại hai thuật toán là khóa đối xứng và khóa công khai. Ở đây đã trình bày chi tiết về thuật toán khóa đối xứng DES và cơ sở lí thuyết của thuật toán khóa công khai. Ngoài ra, phần này còn trình bày về trao đổi khóa Diffie-Hellman. Đối với xác thực dữ liệu có hai vấn đề trọng tâm là xác thực nguồn gốc dữ liệu và xác thực tính toàn vẹn của dữ liệu: thuật toán MD5/SHA-1để đảm bảo vấn đề toàn vẹn dữ liệ; giới thiệu các phương pháp xác thực và chứng thực số để xác định nguồn gốc dữ liệu.
Chương 5: Thực hiện VPN. Do có nhiều hãng tham gia phát triển các sản phẩm cho IP-VPN và mỗi hãng lại có nhiều dòng sản phẩm nên thực tế có rất nhiều mô hình thực hiện VPN. Chương này giới thiệu một số mô hình cụ thể thực hiện IP-VPN. Phần cuối của chương giới thiệu tình hình thị trường VPN Việt Nam.

Mục lục i
Danh mục hình vẽ v
Danh mục bảng viii
Ký hiệu viết tắt ix
LỜI NÓI ĐẦU xii
CHƯƠNG 1 xiv
BỘ GIAO THỨC TCP/IP xiv
1.1 Khái niệm mạng Internet xiv
1.2 Mô hình phân lớp bộ giao thức TCP/IP xv
1.3 Các giao thức trong mô hình TCP/IP xvii
1.3.1 Giao thức Internet xvii
1.3.1.1 Giới thiệu chung xvii
1.3.1.2. Cấu trúc IPv4 xviii
1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu xx
1.3.1.4. Địa chỉ và định tuyến IP xxi
1.3.1.4. Cấu trúc gói tin IPv6 xxi
1.3.2. Giao thức lớp vận chuyển xxiii
1.3.2.1. Giao thức UDP xxiii
1.3.2.2. Giao thức TCP xxiv
1.4 Tổng kết xxix
CHƯƠNG 2 xxx
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN xxx
2.1 Gới thiệu về mạng riêng ảo trên Internet IP-VPN xxx
2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet xxx
2.1.2 Khả năng ứng dụng của IP-VPN xxxi
2.2 Các khối cơ bản trong mạng IP-VPN xxxii
2.2.1 Điều khiển truy nhập xxxii
2.2.2 Nhận thực xxxiii
2.2.3 An ninh xxxiii
2.2.4 Truyền Tunnel nền tảng IP-VPN xxxiv
2.2.5 Các thỏa thuận mức dịch vụ xxxvi
2.3 Phân loại mạng riêng ảo theo kiến trúc xxxvii
2.3.1 IP-VPN truy nhập từ xa xxxvii
2.3.2 Site-to-Site IP-VPN xxxix
2.3.2.1 Intranet IP-VPN xxxix
2.3.2.2 Extranet IP-VPN xl
2.4 Các giao thức đường ngầm trong IP-VPN xli
2.4.1 PPTP (Point - to - Point Tunneling Protocol) xlii
2.4.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP xlii
2.4.1.2 Đóng gói dữ liệu đường ngầm PPTP xliii
2.4.1.3 Xử lí dữ liệu đường ngầm PPTP xliv
2.4.1.4 Sơ đồ đóng gói xliv
2.4.2 L2TP (Layer Two Tunneling Protocol) xlv
2.4.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP xlvi
2.4.2.2 Đường ngầm dữ liệu L2TP xlvii
2.4.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec xlvii
2.4.2.4 Sơ đồ đóng gói L2TP trên nền IPSec xlviii
2.5 Tổng kết xlix
CHƯƠNG 3 l
GIAO THỨC IPSEC CHO IP-VPN l
3.1 Gới thiệu l
3.1.1 Khái niệm về IPSec l
3.1.2 Các chuẩn tham chiếu có liên quan lii
3.2 Đóng gói thông tin của IPSec liii
3.2.1 Các kiểu sử dụng liii
3.2.1.1 Kiểu Transport liii
3.1.1.2 Kiểu Tunnel liv
3.2.2 Giao thức tiêu đề xác thực AH lv
3.2.2.1 Giới thiệu lv
3.2.2.2 Cấu trúc gói tin AH lvi
3.2.2.3 Quá trình xử lý AH lvii
3.2.3 Giao thức đóng gói an toàn tải tin ESP lx
3.2.3.1 Giới thiệu lx
3.2.3.2 Cấu trúc gói tin ESP lxi
3.2.3.3 Quá trình xử lý ESP lxiii
3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE lxviii
3.3.1 Kết hợp an ninh SA lxviii
3.3.1.1 Định nghĩa và mục tiêu lxviii
3.3.1.2 Kết hợp các SA lxix
3.3.1.3 Cơ sở dữ liệu SA lxxi
3.3.2 Giao thức trao đổi khóa IKE lxxi
3.3.2.1 Bước thứ nhất lxxii
3.3.2.2 Bước thứ hai lxxiv
3.3.2.3 Bước thứ ba lxxvi
3.3.2.4 Bước thứ tư lxxviii
3.3.2.5 Kết thúc đường ngầm lxxviii
3.4 Những giao thức đang được ứng dụng cho xử lý IPSec lxxviii
3.4.1 Mật mã bản tin lxxviii
3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES lxxix
3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES lxxix
3.4.2 Toàn vẹn bản tin lxxix
3.4.2.1 Mã nhận thực bản tin băm HMAC lxxx
3.4.2.2 Thuật toán MD5 lxxx
3.4.2.3 Thuật toán băm an toàn SHA lxxxi
3.4.3 Nhận thực các bên lxxxi
3.4.3.1 Khóa chia sẻ trước lxxxi
3.4.3.2 Chữ ký số RSA lxxxi
3.4.3.3 RSA mật mã nonces lxxxii
3.4.4 Quản lí khóa lxxxii
3.4.4.1 Giao thức Diffie-Hellman lxxxii
3.4.4.2 Quyền chứng nhận CA lxxxiii
3.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec lxxxiv
3.6 Tổng kết lxxxvi
CHƯƠNG 4 87
AN TOÀN DỮ LIỆU TRONG IP-VPN 87
4.1 Giới thiệu 87
4.2 Mật mã 88
4.2.1 Khái niệm mật mã 88
4.2.2 Các hệ thống mật mã khóa đối xứng 89
4.2.2.1 Các chế độ làm việc ECB, CBC 89
4.2.2.2 Giải thuật DES (Data Encryption Standard) 91
4.2.2.3 Giới thiệu AES (Advanced Encryption Standard) 93
4.2.2.4Thuật toán mật mã luồng (stream cipher) 94
4.2.3 Hệ thống mật mã khóa công khai 95
4.2.3.1 Giới thiệu và lý thuyết về mã khóa công khai 95
4.2.3.2 Hệ thống mật mã khóa công khai RSA 97
4.2.4 Thuật toán trao đổi khóa Diffie-Hellman 98
4.3 Xác thực 99
4.3.1 Xác thực tính toàn vẹn của dữ liệu 99
4.3.1.1 Giản lược thông điệp MD dựa trên các hàm băm một chiều 100
4.3.1.2 Mã xác thực bản tin MAC dựa trên các hàm băm một chiều sử dụng khóa 103
4.3.1.3 Chữ ký số dựa trên hệ thống mật mã khóa công khai 105
4.3.2 Xác thực nguồn gốc dữ liệu 106
4.3.2.1 Các phương thức xác thực 106
4.3.2.2 Các chứng thực số (digital certificates) 109
CHƯƠNG 5 114
THỰC HIỆN IP-VPN 114
5.1 Giới thiệu 114
5.2 Các mô hình thực hiện IP-VPN 115
5.2.1 Access VPN 116
5.2.1.1 kiến trúc khởi tạo từ máy khách 116
5.2.1.2 kiến trúc khởi tạo từ máy chủ truy nhập NAS 117
5.2.2 Intranet IP-VPN và Extranet IP-VPN 117
5.2.3 Một số sản phẩm thực hiện VPN 118
5.3 Ví dụ về thực hiện IP-VPN 118
5.3.1 Kết nối Client-to-LAN 119
5.3.2 Kết nối LAN-to-LAN 121
5.4 Tình hình triển khai VPN ở Việt Nam 122
KẾT LUẬN 123
Tài liệu tham khảo 124
Các website chính 125