Bộ giáo dục và đào tạo
Trường cao đẳng Kinh Tế Cơng Nghệ Thành Phố Hồ Chí Minh
Khoa Cơng Nghệ Thơng Tin
___    ___
ĐỜ ÁN MẠNG MÁY TÍNH

Đề tài:
Tìm Hiểu Công Nghệ VPN & Triển Khai Trên Win2k8

GVHD:
SVTH :
.

Tp Hồ Chí Minh. Ngày....Tháng....Năm 20.


Đề Tài Mạng Máy Tính

I. CÁC KHÁI NIỆM CƠ BẢN VỀ VPN (VITRUAL PRIVATE NETWORKING).
1. Một Số Khái Niệm Cơ Bản Về VPN.

1.1  Tìm hiểu về VPN.
Mục đích mong muốn của cơng nghệ VPN là việc sử dụng Internet và tính phổ cập của nó. Tuy nhiên, do 
Internet là nguồn thơng tin cơng cộng nên có thể được truy cập từ bất kỳ ai, bất kỳ lúc nào, bất kỳ nơi đâu, việc 
trao đổi thơng tin có thể bị nghe trộm dễ dàng, sự truy cập bất hợp pháp và phá hoại dữ liệu khi trao đổi dữ liệu.
Mục đích chính của VPN là cung cấp bảo mật, tính hiệu quả và độ tin cậy trong mạng trong khi vẫn đảm bảo 
cân bằng giá thành cho tồn bộ q trình xây dựng mạng.
VPN được hiểu là phần mở rộng của một mạng Intranet được kết nối thơng qua mạng cơng cộng nhằm bảo đảm
an tồn và tăng hiệu quả giá thành kết nối giữa hai đầu nối.Cơ chế và độ giới hạng bảo mật tinh vi cũng được sử

dụng để bảo đảm tính an tồn cho việc trao đổi những dữ liệu dễ bị đánh cập thơng qua một mơi trường khơng 
an tồn. Cơ chế an tồn bao gồm những khái niệm sau đây :
Encryption : Mã hố dữ liệu là một q trình xữ lý thay đổi dữ liệu theo một chuẩn nhất định và dữ liệu chỉ có 
thể được đọc bởi người dùng mong muốn. Ðể đọc được dữ liệu người nhận buộc phải có chính xác một khóa 
giải mã dữ liệu. Theo phương pháp truyền thống, người nhận và gửi dữ liệu sẽ có cùng một khố để có thể giải 
mã và mã hố dữ  liệu. Lược đồ public­key sử dụng 2 khóa, một khóa được xem như một public­key (khóa cơng
cộng) mà bất cứ ai cũng có thể dùng để mã hố và giải mã dữ  liệu.
Authentication : Là một q trình xữ lý bảo đảm chắc chắn dữ liệu sẽ được chuyễn đến người nhận đồng thời 
cũng bảo đảm thơng tin nhận được ngun vẹn. Ở hình thức cơ bản, Authentication địi hỏi ít nhất phải nhập 
vào Username và Password để có thể truy cập vào tài ngun. Trong một số tình huống phức tạp, sẽ có thêm 
secret­key hoặc public­key để mã hố dữ liệu.
Authorization : Ðây là q trình xữ lý cấp quyền truy cập hoặc ngăn cấm vào tài ngun trên mạng sau khi đã 
thực hiện Authentication.
 
Sự Phát Triển Của VPNs :
VPNs khơng phải là một cơng nghệ hồn tồn mới, khái niệm về VPNs đã có từ 15 năm trước và trải qua nhiều 
q trình phát triển, thay đổi cho đến nay đã tạo ra một dạng mới nhất.
VPNs đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 và được biết như Software Defined 
Networks (SDNs).
Thế hệ thứ hai của VPNs ra đời từ sự xuất hiện của cơng nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số 
(Integrated Services Digital Network : ISDN) từ đầu những năm 90. Hai cơng nghệ này cho phép truyền những 
dịng gói (package streams) dữ liệu qua các mạng chia sẽ chung.
Sau khi thế hệ thứ hai của VPNs ra đời, thị trường VPNs tạm thời lắng động và chậm tiến triển, cho tới khi có 
sự nổi lên của hai cơng nghệ cell­based Frame Relay (FR) Asynchronous Tranfer Mode (ATM). Thế hệ thứ ba 
của VPNs đã phát triển dựa theo 2 cơng nghệ này. Hai cơng nghệ này phát triển dựa trên khái niệm về Virtual 
Circuit Switching, theo đó, các gói dữ liệu sẽ khơng chứa địa chỉ nguồn và đích. Thay vào đó, chúng sẽ mang 
những con trỏ, trỏ đến các virtual curcuit nơi mà dữ liệu nguồn và đích sẽ được giải quyết.
Chú ý : cơng nghệ Virtual Circuit switching có tốc độ truyền dữ liệu cao (160 Mbs hoặc cao hơn) hơn so với thế
hệ trước­SDN, X.25, ISDN. Tuy nhiên việc đóng gói IP lưu thơng bên trong gói Frame Relay và ATM cells thì 
chậm. Ngồi ra, mạng FR­based và ATM­based cũng khơng cung cấp phương pháp xác nhận packet­level end­

to­end và mã hóa cho những ứng dụng high­end chẳng hạn như multimedia.
1


Đề Tài Mạng Máy Tính

Tunneling là một kỹ thuật đóng gói các gói dữ  liệu trong tunneling protocol, như IP Security (IPSec), Point­to­
Point Tunneling Protocol (PPTP), hoặc Layer 2 Tunneling Protocol (L2TP) và cuối cùng là đóng gói những gói 
đã được tunnel bên trong một gói IP. Tổng hợp các gói dữ liệu sau đó route đến mạng đích bằng cách sử dụng 
lớp phủ thơng tin IP. Bởi vì gói dữ liệu ngun bản có thể là bất cứ dạng nào nên tunneling có thể hổ trợ đa giao
thức gồm IP, ISDN, FR và ATM.
 
VPNs Tunneling Protocol :
Có 3 dạng giao thức tunneling nổi bật được sử dụng trong VPNs :
IP Security (IPSec) : Ðược phát triển bởi IETF, IPSec là một chuẩn mở đảm bảo chắc chắn q trình trao đổi 
dữ liệu được an tồn và phương thức xác nhận người dùng qua mạng cơng cộng. Khơng giống với những kỹ 
thuật mã hố khác, IPSec thực hiện ở tầng thứ 7 trong mơ hình OSI (Open System Interconnect), Vì thế, chúng 
có thể chạy độc lập so với các ứng dụng chạy trên mạng. Và vì thế mạng của bạn sẽ được bảo mật hơn mà 
khơng cần dùng bất kỳ chương trình bảo mật nào.
Point­to­point Tunneling Protocol (PPTP) : Phát triển bởi Microsoft, 3COM, và Ascend Communications, 
PPTP là một sự chọn lựa để thay thế cho IPSec. Tuy nhiên IPSec vẫn cịn được sử dụng nhiều trong một số 
Tunneling Protocol. PPTP thực hiện ở tầng thứ 2 (Data Link Layer).
Layer 2 Tunneling Protocol (L2TP) : Ðược phát triển bởi Cisco System, L2TP được dự định sẽ thay thế cho 
IPSec. Tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảo mật trên Internet. L2TP là sự kết hợp giữa Layer 2 
Forwarding (L2F) và PPTP và được dùng để đóng gói các frame sữ dụng giao thức Point­to­point để gởi qua 
các loại mạng như X.25, FR, ATM.
Ghi chú : L2F là một protocol được đăng ký độc quyền bởi Cisco System để đảm bảo việc vận chuyễn dữ liệu 
trên mạng Internet được an tồn.
 
Sư Thuận Lợi Và Bất Lợi Của VPNs : 

Thuận lợi :
 Giãm thiểu chi phí triển khai : Chi phí cho VPNs ít hơn đáng kể so với cách giải quyết truyền thống
 Giãm chi phí quản lý.
 Cải thiện kết nối.
 An tồn trong giao dịch.
 Hiệu quả về băng thơng.
 Enhanced scalability.
 
Bất lợi :
 Phụ thuộc trong mơi trường Internet.
 Thiếu sự hổ trợ cho một số giao thức kế thừa.
 
Những Ðiều Cần Quan Tâm Trong VPNs :
 Tính an tồn.
 Thao tác giữa các thiết bị của các nhà cung cấp khác nhau.
 Quản lý tập trung.
 Dễ triển khai.
2


Đề Tài Mạng Máy Tính

 Dễ sử dụng.
 Scalability.
 Hiệu xuất.
 Quản lý băng thơng.
 Lựa chọn một nhà cung cấp dịch vụ (ISP).
 Bảo vệ mạng từ những dữ liệu gởi đi tự nhiên bên ngồi.
 
1.2  Các loại VPN.

VPNs nhằm hướng vào 3 u cầu cơ bản sau đây :
 Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại cầm tay,  và việc liên lạc giữa các 
nhân viên của một tổ chức tới các tài ngun mạng.
 Nối kết thơng tin liên lạc giữa các chi nhánh văn phịng từ xa.
 Ðược điều khiển truy nhập tài ngun mạng khi cần thiết của khách hàng, nhà cung cấp và những đối tượng 
quan trọng của cơng ty nhằm hợp tác kinh doanh.
Dựa trên những nhu cầu cơ bản trên, ngày nay VPNs đã phát triển và phân chia ra làm 3 phân loại chính sau :
 Remote Access VPNs.
 Intranet VPNs.
 Extranet VPNs.
Và ta sẽ tìm hiểu thêm về 3 đối tượng trên sau đây :
Remote Access VPNs :
Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và 
các thiết bị truyền thơng của nhân viên các chi nhánh kết nối đến tài ngun mạng của tổ chức. Ðặc biệt là 
những người dùng thường xun di chuyễn hoặc các chi nhánh văn phịng nhỏ mà khơng có kết nối thường 
xun đến mạng Intranet hợp tác.
Một số thành phần chính :
Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các u cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số u cầu ở khá xa so với trung tâm.
Hổ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hổ trợ truy cập từ xa bởi người dùng.
 
 

3


Đề Tài Mạng Máy Tính

Figure 1­2: The non­VPN remote access setup.
 

Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phịng chỉ cần cài 
đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài ngun thơng qua 
Internet. Thơng tin Remote Access Setup được mơ tả bởi hình vẽ sau :
 

4


Đề Tài Mạng Máy Tính

 
Figure 1­3: The Remote Access VPN setup

 
Như bạn có thể suy ra từng hình 1­3, thuận lợi chính của Remote Access VPNs :
 Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
 Sự cần thiết hổ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi
bời ISP
 Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối với khoảng cách xa sẽ 
được thay thế bởi các kết nối cục bộ.
 Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
 Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những 
khoảng cách xa.
 VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hổ trợ dịch vụ truy cập ở mức độ tối thiểu
nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng.
Ngồi những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như :
 Remote Access VPNs cũng khơng bảo đảm được chất lượng phục vụ.
 Khả năng mất dữ  liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thễ đi ra ngồi và bị thất 
thốt.
 Do độ phức tạp của thuật tốn mã hố, protocol overhead tăng đáng kể, điều này gây khó khăn cho q 

trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP­based diễn ra vơ cùng chậm chạp và tồi tệ.
 Do phải truyền dữ liệu thơng qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thơng, 
phim ảnh, âm thanh sẽ rất chậm.
Intranet VPNs :
Intranet VPNs được sữ dụng để kết nối đến các chi nhánh văn phịng của tổ chức đến Corperate Intranet 
(backbone router) sữ dụng campus router, xem hình bên dưới :
 

5


Đề Tài Mạng Máy Tính

Figure 1­4: The intranet setup using WAN backbone
 
Theo mơ hình bên trên sẽ rất tốn chi phí do phải sữ dụng 2 router để thiết lập được mạng, thêm vào đó, việc 
triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém cịn tùy thuộc vào lượng lưu thơng trên 
mạng đi trên nó và phạm vi địa lý của tồn bộ mạng Intranet.
Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí 
thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng Intranet, xem hình bên dưới :
 

6


Đề Tài Mạng Máy Tính

Figure 1­5: The intranet setup based on VPN.
Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 1­5 :
 Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mơ hình WAN backbone

 Giảm thiểu đáng kể số lượng hổ trợ u cầu người dùng cá nhân qua tồn cầu, các trạm ở một số remote 
site khác nhau.
 Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng.
 Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng 
cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet.
 
Những bất  lợi chính kết hợp với cách giải quyết :
 Bởi vì dữ liệu vẫn cịn tunnel trong suốt q trình chia sẽ trên mạng cơng cộng­Internet­và những nguy cơ 
tấn cơng, như tấn cơng bằng từ chối dịch vụ (denial­of­service), vẫn cịn là một mối đe doạ an tồn thơng tin.
 Khả năng mất dữ liệu trong lúc di chuyễn thơng tin cũng vẫn rất cao.
 Trong một số trường hợp, nhất là khi dữ liệu là loại high­end, như các tập tin mulltimedia, việc trao đổi dữ 
liệu sẽ rất chậm chạp do được truyền thơng qua Internet.
 Do là kết nối dựa trên Internet, nên tính hiệu quả khơng liên tục, thường xun, và QoS cũng khơng được 
đảm bảo.
Extranet VPNs :
Khơng giống như Intranet và Remote Access­based, Extranet khơng hồn tồn cách li từ bên ngồi (outer­
world), Extranet cho phép truy cập những tài ngun mạng cần thiết của các đối tác kinh doanh, chẳng hạn như 
khách hàng, nhà cung cấp, đối tác những người giữ vai trị quan trọng trong tổ chức.
 
7


Đề Tài Mạng Máy Tính

 

Figure 1­6: The traditional extranet setup.
 
Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau 
để tạo ra một Extranet. Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn 

cho cá nhân làm cơng việc bảo trì và quản trị. Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối 
tung tồn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngồi mạng. Sẽ có những vấn đề bạn gặp 
phải bất thình lình khi kết nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một mạng Extranet có
thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng.
 

8


Đề Tài Mạng Máy Tính

Figure 1­7: The Extranet VPN setup
 

Một số thuận lợi của Extranet :
 Do hoạt động trên mơi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương 
pháp giải quyết tuỳ theo nhu cầu của tổ chức.
 Bởi vì một phần Internet­connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi 
th nhân viên bảo trì.
 Dễ dàng triển khai, quản lý và chỉnh sữa thơng tin.
Một số bất lợi của Extranet :
 Sự đe dọa về tính an tồn, như bị tấn cơng bằng từ chối dịch vụ vẫn cịn tồn tại.
 Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
 Do dựa trên Internet nên khi dữ liệu là các loại high­end data thì việc trao đổi diễn ra chậm chạp.
 Do dựa trên Internet, QoS cũng khơng được bảo đảm thường xun.
 
1.3  Tổng kết.
Trong chương này, bạn sẽ được giới về một số đặc điểm của cơng nghệ VPN. Ngồi các đặc điểm cơ bản, 
chúng ta cũng sẽ biết thêm một số thuận lợi và bất lợi của VPNs. Bạn cũng sẽ được học về một số loại VPNs 
thường sử dụng.

 

2. VPN Requirements, Buiding Clock, Architectures.

Ở phần trước các bạn đã tham khảo về tính bảo mật và một số phương pháp thiết lập một kết nối Intranet đơn 
giản thơng qua một mạng cơng cộng. Cơng nghệ VPN khơng chỉ giảm chi phí cho việc triển khai một hệ thống 
mạng với độ bảo mật cao mà cịn giảm thiểu chi phí quản lý. Nó cung cấp tính dễ dùng, có khả năng mở rộng 
phạm vi, và hiệu quả về vấn đề băng thơng.

u cầu trong VPN :

VPN là một phiên bản đã chỉnh sữa của mạng riêng (private network) nhằm tạo địn bẩy cho việc thiết kế mạng 
LAN hoặc Intranet thơng qua Internet và một số mạng cơng cộng khác nhằm an tồn và kinh tế trong thơng tin 
liên lạc. Hầu hết những nhu cầu VPN và những nhu cầu của một mạng riêng truyền thống về bản chất là giống 
nhau, theo sau đây là những nhu cầu nổi bậc của VPN :
 Tính an tồn.
 Tính sẵn dùng.
 Chất lượng dịch vụ.
 Ðộ tin cậy.
 Khả năng tương thích.
 Dễ quản lý.
 
3. Các Thành Phần Bảo Mật Của Một VPN.
Internet được xem là một mơi trường khơng an tồn, dữ liệu truyền qua dễ bị sự truy cập bất hợp pháp và nguy 
hiểm. Sự ra đời của VPN, dựa trên giao thức Tunneling đã làm giảm một lượng đáng kể số lượng rủi ro khơng 
an tồn. Vì thế, làm thế nào để bảo đảm dữ liệu được an tồn qua VPN ? Làm thế nào để những dữ liệu dễ bị hư
hỏng tránh khỏi sự truy cập khơng hợp pháp và khơng an tồn ? Ơ chương này chúng ta sẽ tìm hiểu về nó.
9



Đề Tài Mạng Máy Tính

Dữ liệu truyền trên mạng thường dễ bị tấn cơng bằng nhiều cách, sau đây là một số cách tấn cơng phổ biến :
Làm gián đoạn dịch vụ mạng (Network service interruptions) : 
Thỉng thoảng, các mối tấn cơng từ bên ngồi cũng có mức độ nguy hiểm tương đương với bị tấn cơng từ bên 
trong, một số tài ngun và dịch vụ mạng có thể bị làm cho khơng sử dụng được trong một thời gian dài. Trong 
trường hợp này, tồn bộ mạng của bạn sẽ khơng thể được truy cập bởi người dùng.
Ngăn Chặn Dữ Liệu (Data interception) : 
Khi trao đổi dữ liệu trên mạng, dữ liệu có thể bị ngăn chặn bởi những cá nhân khơng được phép. Kết quả là 
những thơng tin cẩn mật bị mất. Trong trường hợp này, vị trí của tổ chức bạn sẽ có thể bị mất (trong vấn đề kinh
doanh và tiền bạc) nếu những dữ liệu rơi vào tay những cánh tay ngồi ý muốn.
Chỉnh Sữa Thơng Tin (Data modification) : 
Thơng tin bị chặn có thể bị sữa đổi và người nhận thơng tin có thể sẽ nhận được những thơng tin sai lệch hoặc 
bị xáo trộn. Điều này khiến cho tổ chức của bạn sẽ phải mất một số tiền lớn, đặc biệt là những dữ liệu quan 
trọng.
Làm Giả Thơng Tin (Data fabrication) : 
Theo kiểu này, những người dùng khơng hợp pháp cũng được xem như những người dùng hợp pháp và đáng 
tin. Sau khi truy cập vào hệ thống mạng, những cá nhân này sẽ phổ biến những thơng tin giả mạo và có hại đến 
những người dùng khác trong mạng. Và cuối cùng có thể phái vỡ một phần hoặc tồn bộ hệ thống mạng.
 
 

Figure 3­1: Generic implementation of user authentication and access control in VPNs
 
3.1 Các phương thức nhận dạng người dùng.
Cơ chế xác nhận người dùng thường được triển khai tại các điểm truy cập và được dùng để xác nhận cho người 
dùng truy cập vào tài ngun bên trong mạng. Kết quả là chỉ có người dùng hợp lệ thì mới có thể truy cập vào 
bên trong mạng, điều này làm giảm đáng kể sự truy cập bất hợp pháp vào những dữ liệu được lưu trữ trên mạng.
Một số cách xác nhận thường được sử dụng riêng biệt hoặc có thể được kết hợp với một số cách khác bao gồm 
những cách sau đây :

Login ID and password : Phương pháp này sử dụng cơ chế xác nhận ID và mật khẩu cơ bản của hệ thống để 
xác nhận quyền truy cập của người dùng tại các điểm VPN.
10


Đề Tài Mạng Máy Tính

S/Key password : Phương pháp này khởi tạo một S/KEY bằng cách lựa chọn một mật mã bí mật và một con số 
tự nhiên. Số tự nhiên này bao hàm cả số lần của một secure hash function (MD4) sẽ được sử dụng vào mật khẩu
hí mật. Khi người dùng login vào hệ thống, máy chủ sẽ cấp phát một hiệu lệnh kiểm sốt. Chương trình máy 
khách sẽ u cầu nhập mật khẩu bí mật, gây ra n­1 lần lặp lại hàm băm đến nó và gởi trả lại máy chủ. Máy chủ 
sẽ ứng dụng hàm băm này vào thơng tin được gởi lại, nếu cả hai giá trị đều giống nhau, người dùng sẽ được xác
nhận thành cơng. Máy chủ sẽ lưu lại thơng tin mà người dùng gửi cho và giảm bộ đếm mật khẩu.
Dịch Vụ Qua Số Kết Nối Từ Xa (RADIUS) : RADIUS là một giao thức bảo mật trên Internet khá mạnh dựa 
trên mơ hình Client/Server, phía client sẽ truy xuất vào mạng và RADIUS server là khúc mạng cuối sẽ xác nhận
client. Thơng thường, RADIUS server xác nhận người dùng bằng Username và Password mà nó lưu trữ trong 
danh sách sẵn có.
RADIUS cũng thực hiện vai trị như một client khi xác nhận những người dùng như là các hệ điều hành như 
UNIX, NT và NetWare, thêm nữa RADIUS cũng đóng vai trị như một client khi RADIUS này kết nối đến 
RADIUS khác. Để an tồn thơng tin hơn trong q trình trao đổi dữ liệu, dữ liệu thường được mã hóa theo cơ 
chế xác nhận, chẳng hạn như Password Authentication Protocol (PAP) và Challenge HandShake Authentication
Protocol (CHAP).
Two­Factor Token­Based Technique : Giống như tên gọi ám chỉ, kế hoạch này triễn khai phương pháp xác 
nhận đơi để xác nhận những tài liệu đáng tin của người dùng. Nó kết hợp tiện ích một của token và một của 
password. Trong suốt q trình xử lý, các thiết bị điện tử phần cứng cơ bản phục vụ như token và ID duy nhất, 
ví dụ như Personal Identification Number (PIN) được sử dụng như mật khẩu. Theo truyền thống, token sẽ là 
thiết bị phần cứng (có thể là một thẻ card), nhưng một số nhà cung cấp lại u cầu sử dụng phần mềm để làm 
token.
Chú thích : Bạn có thể so sách tính hữu dụng của phương pháp xác nhận Two­Factor Token­Based khi bạn rút 
tiền từ Automated Teller Machine (ATM). Bạn chỉ có thể rút tiền thành cơng khi bạn cung cấp phần nhận dạng 

của bạn. Bạn sẽ làm việc này bằng cách sử dụng một ATM card để truy cập vào tài khoản của bạn (hardware­
based identification) cùng với một mật khẩu bí mật hoặc một PIN. Chỉ với những nhân tố này kết hợp với nhau 
bạn mới có thể truy nhập vào tài khoản của bạn.
 
3.2 Điều khiển quyền truy cập (Controlling Access).
Sau khi người dùng đã được xác nhận, mặc định anh/chị ấy sẽ được phép truy cập vào những tài ngun, dịch 
vụ và những ứng dụng được đặt trên mạng. Điều này chứng tỏ rằng có một mối đe dọa lớn từ phía người dùng, 
cho dù đã được uỷ nhiệm, có thể cố ý hoặc khơng cố ý làm xáo trộn dữ liệu trên mạng. Bằng cách sàn lọc tài 
ngun bạn có thể hạn chế được việc này.
Controlling Access Rights cũng là một phần tích hợp của controlling access. Mới đe dọa bảo mật có thể được 
giảm xuống nếu ta giới hạn một số quyền truy cập đối với người dùng. Ví dụ như người dùng chỉ được phép 
đọc dữ liệu cịn người quản trị có quyền chỉnh sữa, xố dữ liệu.
Ngày nay, một số kỹ thuật cải tiến đã cho phép độ an tồn cao hơn do việc kết hợp nhiều yếu tố như địa chỉ IP 
nguồn và đích, địa chỉ cổng, và group, ngày, giờ, thời gian và các ứng dụng v.v…
 
3.3 Mã hóa dữ liệu.

11


Đề Tài Mạng Máy Tính

Mã hóa hoặc mật mã hóa dữ liệu là một trong những thành phần cơ bản của VPN security. Đây là cơ chế 
chuyển đổi dữ liệu sang một định dạng khác khơng thể đọc được, vi dụ như ciphertext (văn bản viết thành mật 
mã), để có thể ngăn cản những truy cập bất hợp pháp khi dữ liệu trao đổi trong mơi trường mạng khơng an tồn.
Mã hóa dữ liệu ngăn chặn được các việc sau :
 Nghe trộm và xem lén dữ liệu.
 Chỉnh sữa và đánh cắp lén dữ liệu.
 Giả mạo thơng tin.
 Data non­repudiation.

 Sự gián đoạn các dịch vụ mạng.
Khi nhận được gói tin, người nhận sẽ giải mã dữ liệu lại dạng cơ bản ban đầu. Cho dù dữ liệu có bị chặn trong 
suốt q trình trao đổi dữ liệu.
 

 
Figure 3­2: The traditional encryption model
 
Người gởi và người nhận, phụ thuộc vào q trình mã hóa,dưới hình thức là một hệ thống mã hóa. Hệ thống mã 
hố (Cryptosystems) có 2 loại sau :


Đối xứng (Symmetric)



Bất đối xứng (Asymmetric)

Một hệ thống mã hóa được phân loại dựa vào con số của khố mà nó dùng. Một khố có thể là một con số, một 
từ, hoặc một cụm từ được dùng vào mục đích mã hóa và giải mã dữ liệu.
3.3.1 Hệ thống mã hóa đối xứng (Symmetric Cryptosystems)
Symmetric cryptosystems dựa trên một khóa đơn, đó là một chuỗi ngắn với chiều dài khơng thay đổi. Do đó, 
phương pháp mã hóa này được xem như là single­key encryption. Khố thường là khóa riêng (hoặc bảo mật) và 
được dùng để mã hóa cũng như giải mã.
Ghi chú : Trong một số tài liệu, symmetric cryptosystem cũng được xem như khóa scryptosystems riêng hoặc bí
mật và kỹ thuật này cũng được xem như khóa mật mã riêng hoặc khóa mật mã bí mật.
12


Đề Tài Mạng Máy Tính


Trước khi hai bên trao đổi dữ liệu, khóa phải được chia sẽ dùng chung cho cả 2 bên. Người gửi sẽ mã hóa thơng
tin bằng khóa riêng và gửi thơng tin đến người. Trong q trình nhận thơng tin, người nhận sủ dụng cùng một 
khóa để giải mã thơng điệp.
 

Figure 3­3: The symmetric cryptosystem.
Phụ thuộc vào chiều dài của khóa, có rất nhiều thuật giải mã hóa đối xứng đã được phát triển cho đến nay. Sau 
đây là một số thuật giải thường được sử dụng trong VPN :

Tiêu chuẩn mã hóa dữ liệu (Data Encryption Standard (DES)). Ngun bản DES đề ra giải pháp cho 
một khóa có chiều dài lên đến 128 bit. Tuy nhiên, kích thước của khóa đã giảm xuống cịn 56 bit bởi chính phủ 
Hoa Kỳ trong việc nổ lực tìm ra thuật giải nhanh hơn. Việc giảm chiều dài khóa xuống, phụ thuộc vào tốc độ xử
lý của bộ vi xử lý. Trong phương pháp tấn cơng Brute Force, các khóa sẽ phát sinh ngẩu nhiên và được gửi đến 
đoạn văn bản ngun mẩu cho tới khi xác định được từ khóa chính xác. Với những khóa có kích thước nhỏ, sẽ 
dễ dàng để phát sinh ra chính xác từ khóa và phá vở hệ thống mật mã.
Chú ý : Tên chính thức của DES là Federal Information Processing Standard (FISP) (Tiêu chuẩn xứ lý thơng tin
liên bang (Hoa kỳ).

Bội ba tiêu chuẩn mã hóa dữ liệu (Triple Data Encryption Standard (3DES)). Cũng giống như DES, 
3DES cũng sử dụng khóa 56 bit. Tuy nhiên, nó an tồn hơn nhiều do dùng 3 khóa khác nhau để mã hóa dử liệu. 
Bộ xử lý thực hiện các bước sau : khóa đầu tiên dùng để mã hóa dữ liệu. Sau đó, khóa thứ hai sẽ dùng để giải 
mã dữ liệu vừa được mã hóa. Cuối cùng, khóa thứ ba sẽ mã hóa lần thứ hai. Tồn bộ q trình xử lý của 3DES 
tạo thành một thuật giải có độ an tồn cao. Nhưng bởi vì đây là một thuật giải phức tạp nên thời gian thực hiện 
sẽ lâu hơn, gấp 3 lần so với phương pháp DES.

Ron's Code 4 (RC4). Được phát triển bởi Ron Rivest, thuật giải này sử dụng những từ khóa với chiều dài 
có thể biến đổi lên đến 256 bytes. Bởi vì chiều dài của khóa, RC4 được phân loại là một cơ chế mã hóa mạnh. 
Nó cũng tương đối khá nhanh. RC4 tạo một dịng bytes ngẩu nhiên và XORs chúng với văn bản ngun mẩu. 
Bởi vì các bytes được phát sinh ngẩu nhiên, RC4 địi hỏi một khóa mới cho mổi lần gởi thơng tin ra ngồi.


13


Đề Tài Mạng Máy Tính

Hệ thống mã hóa đồng bộ đưa ra 2 vấn đề chính. Đầu tiên, bởi vì một khóa vừa được dùng để mã hóa vừa dùng 
để giả  mã,  nếu nó bắt đầu trở thành kẻ xâm nhập, thì tất cả những thơng tin sữ dụng khóa này sẽ bị huỷ. Vì thế,
khóa nên thường xun thay đổi theo định kỳ.
Một vấn đề khác là khi hệ thống mã hóa đồng bộ xữ lý một lượng thơng tin lớn, việc quả lý các khóa sẽ trở 
thành một cơng việc vơ cùng khó khăn. Kết hợp với việc thiết lặp các cặp khóa, phân phối, và thay đổi theo 
định kỳ đều địi hỏi thời gian và tiền bạc.
Hệ hống mã hóa đối xứng đã giải quyết vấn đề đó bằng việc đưa ra hệ thống mã hóa đối xứng. Đồng thời, họ 
cũng tăng tính năng bảo mật trong suốt q trình chuyển vận. Chúng ta sẽ được tham khảo thêm về hệ thống mã
hóa bất đối xứng ở phần sau.
3.3.2 Hệ Thống Mã Hóa Bất Đối Xứng (Asymmetric Cryptosystems).
Thay vì sử dụng một khóa đơn trong hệ thống mã hóa đối xứng, hệ thống mã hóa bất đối xứng sử dụng một cặp 
khóa có quan hệ tốn học. Một khóa là riêng tư, chỉ được chính chủ nhân. Khóa thứ hai thì được phổ biến, cơng 
cộng và phân phối tự do. Khóa cơng cộng thì được dùng để mã hóa và ngược lại khóa riêng thì được dùng để 
giải thơng tin.
Trong VPN, 2 hệ thống mã hóa bất đối xứng được dùng phổ biến là thuật tốn Diffie­Hellman (DH) và thuật 
tốn Rivest Shamir Adleman (RSA).
3.3.3 Thuật tốn Diffie­Hellman
Trong thuật tốn DH, mổi thực thể giao tiếp nhận được một cặp khóa, một được phân phối tới những thực thể 
thơng tin khác và một được giữ lại riêng. Thuật tốn DH làm việc theo những vấn đề chính sau :
1. Người gửi nhận khóa cơng cộng của người nhận, do khóa này là khóa cơng cộng nên đều được mọi người 
biết.
2. Người gửi thực hiện một thao tác gộp khóa riêng và khóa cơng cơng của người nhận, kết quả cho ra một 
khóa chung bảo mật (shared secret key).
3. Thơng điệp sẽ được mã hóa bằng khóa vừa nhận được.

4. Sau đó thơng điệp mã hóa sẽ được gửi đến người nhận.
5. Trong qua trình nhận thơng điệp mã hóa, bên nhận sẽ phát sinh một khóa chung mật khác cũng bằng thao 
tác tương tự gộp chính khóa riêng của mình với khóa chung của bên gửi.
Giả định cơ bản của thuật tốn này là nếu bất kỳ một ai bắt được thơng điệp mã hóa, người đó cũng khơng thể 
nào giải mã được bởi vì anh hoặc cơ ta khơng xữ lý khóa riêng của bên nhận được (khóa riêng của anh hoặc cơ 
ta). Dữ liệu được trao đổi dựa trên thuật tốn Diffie­Hellman được mơ tả ở hình 3­4.

14


Đề Tài Mạng Máy Tính

Figure 3­4: Data exchange as defined by the Diffie­Hellman algorithm.
Mặc dù thuật tốn DH có một độ an tồn cao hơn so với hệ thống mã hóa đối xứng, nhưng  cũng gặp một số vấn
đề khó khăn. Phải đảm bảo chắc chắn rằng khóa cơng cộng phải được trao đổi trước khi q trình trao đổi dữ 
liệu thực sự được xác định. Cho ví dụ : nếu 2 bên trao đổi khóa cơng cộng cho nhau qua mơi trường khơng an 
tồn, như Internet, điều đó có thể làm cho khóa cơng cộng có thể bị bắt giữ trước bởi một người xâm phạm nào 
đó, sau đó người này sẽ gửi khóa cơng cộng của mình cho cả hai bên đầu cuối đang thực hiện trao đổi . Trong 
trường hợp này, người xâm nhập sẽ dễ dàng mắc vào nghe lén thơng tin của hai bên đầu cuối bởi vì cả hai bên 
đầu cuối đều trao đổi dữ liệu thơng qua khóa cơng cộng của người xâm phạm. Đây là một dạng xâm nhập được 
biết như một kiểu tấn cơng Man­in­the­Middle.
Thuật tốn Rivest Shamir Adleman (RSA), sẽ được tham khảo tiếp theo sau sẽ giải quyết hiệu quả phương pháp
tấn cơng Man­in­the­Middle mà đã nảy ra trong thuật tốn DH. Thuật tốn RSA nổi lên như là một cơ chế mã 
hóa bất đối xứng khá mạnh. 
3.3.4 Thuật tốn Rivest Shamir Adleman (RSA)
Thuật tốn RSA triển khai q trình xác nhận bằng cách sử dụng chữ ký điện tử theo các bước sau :
1. Khóa cơng cộng của người gửi được u cầu và được dùng cho người nhận và sau đó được chuyễn 
hướng về phía trước (forward). 
2. Người gửi sử dụng hàm băm để làm giảm kích thước mẩu tin gốc. Thơng điệp tổng hợp thì được hiểu 
như là một thơng điệp phân loại (message digest (MD)).

3. Người gửi mã hóa thơng điệp phân loại bằng khóa riêng của nó được rút ra từ sự phát sinh chữ ký điện 
tử độc nhất. 
4. Thơng điệp và chữ ký điện tử được kết hợp và chuyễn hướng đến người nhận. 
5. Trong lúc nhận thơng điệp mã hóa, người nhận phục hồi lại thơng điệp phân loại bằng cách sử dụng 
cùng một hàm băm như người gửi. 
15


Đề Tài Mạng Máy Tính

6. Người nhận sau đó giải mã chữ ký điện tử bằng cách sử dụng khóa cơng cộng của người gửi. 
7. Người nhận sau đó sẽ so sánh thơng điệp phân loại vừa được phục hồi (bước 5) và thơng điệp phân loại 
nhận được từ chữ ký điện tử (bước 6). Nếu cả hai đồng nhất, tức là dữ liệu khơng bị chặn đứng, giả mạo 
hoặc chỉnh sửa trong suốt q trình trao đổi. Ngược lại, dữ liệu sẽ khơng được chấp nhận, bị từ chối.

 
Figure 3­5: Data exchange as defined by the RSA algorithm.
 
 
RSA bảo đảm an tồn và bảo mật trong chuyến đi của dữ liệu bởi vì người nhận kiểm tra sự đúng đắn của dữ 
liệu qua 3 lần (bước 5, 6 và 7). RSA cũng làm đơn giản hóa cơng việc quản lý khóa. Trong cách mã hóa đối 
xứng,  n2 khóa được u cầu nếu trong q trình trao đổi có n thực thể. Bằng cách so sánh, cách mã hóa bất đối 
xứng chỉ địi hỏi 2*n khóa. 
Như bạn có thể nhận xét, cả hai q trình gia dịch đối xứng và bất đối xứng đều dựa trên cơ sở của mối quan hệ 
ủy nhiệm một chiều  (one­way trust relationship). Public Key Infrastructure (PKI), là một khía cạnh khác, cải 
tiến cách ủy nhiệm giữa hai thực thể giao tiếp, để bảo đảm tính xác thực của các thực thể có liên quan và bảo 
đảm chắc chắn tính bảo mật cho các phiên trao đổi dữ liệu trên Internet (VPN).
3.4 Public Key Infrastructure
PKI là một khn khổ của những chính sách để quản lý những khóa và thiết lập một phương pháp an tồn cho 
sự trao đổi dữ liệu. Để cải tiến việc quản lý các khóa và tính bảo mật cao trong các cuộc trao đổi dữ liệu. Một 

PKI được dựa trên khn khổ bao gồm những chính sách và thủ tục được hổ trợ bởi các tài ngun phần cứng 
và phần mềm. Những chức năng chính của PKI sau đây :


Phát sinh một cặp khóa riêng và khóa chung cho PKI client. 



Tạo và xác nhận chữ ký điện tử. 

16


Đề Tài Mạng Máy Tính



Đăng ký và xác nhận những người dùng mới. 



Cấp phát chứng nhận cho người dùng. 



Đánh dấu những khóa đã cấp phát và bảo trì q trình sử dụng của mổi khóa (được dùng để tham khảo 

về sau).



Hủy bỏ những đăng ký sai và hết hạn. 



Xác nhận PKI client. 

Trước khi tìm hiểu PKI làm việc như thế nào, chúng ta hãy tìm hiểu một số thành phần cấu thành khn khổ 
cho PKI. 
3.4.1 Một số thành phần PKI:


PKI client.



Certification Authority (CA).



Registration Authority (RA).



Digital certificates.



Certificate Distribution System (CDS).

3.4.2 PKI­based Transactions

Như đã nói ở phần trước, PKI đưa ra 4 chức năng bảo mật chính : tính bảo đảm(confidentiality), tính ngun 
vẹn (integrity), tính xác thực (authenticity), và khơng từ chối. Mổi bước trong q trình trao đổi dựa trên PKI 
lặp lại một hoặc nhiều lần những đặc tính bảo mật. Bao gồm một số bước sau :
1. Key pair generation. Trước khi người gửi chuyển dữ liệu đến cho người nhận mong muốn, nó báo cho 
người nhận biết ý định muốn trao đổi dữ liệu. Kết quả là, cả hai phía đều phát sinh 1 cặp khố tạo nên 
một khóa riêng và một khóa chung. Đầu tiên, khóa riêng phát sinh ra trước. Sau đó, khóa chung tương 
ứng sẽ được tạo bằng cách áp dụng hàm băm một chiều đối với khóa riêng. 
Ghi chú :
Trong PKI transactions cũng như trong RSA­based transactions, khóa riêng đều được dùng để ký hiệu thơng tin.
Khóa chung, ở một khía cạnh khác, được dùng để xác nhận chữ ký. 
2. Q trình phát sinh chữ ký điện tử (Digital Signature generation). Sau khi cặp khóa đã được tạo, 
một chữ ký điện tử duy nhất cũng được tạo ra. Chữ ký này được dùng để nhận dạng dữ liệu của người 
gửi. Để tạo ra chữ ký, đầu tiên thơng điệp cơ bản sẽ bị băm ra.  Nói cách khác, một hàm băm được áp 
dụng vào thơng điệp cơ bản. Q trình xữ lý hàm băm này tạo ra một thơng điệp phân loại, sẽ được mã 
hóa sau đó bằng khóa riêng của người gửi. Kết quả được biết như một chữ ký điện tử.
17


Đề Tài Mạng Máy Tính

3. Mã hóa thơng điệp và gắn chữ ký điện tử  (Message encryption and digital signature application). 
Sau khi một chữ ký điện tử được hình thành, thơng điệp cơ bản được mã hóa bằng khóa chung của 
người gửi. Kế tiếp, chữ ký được tạo trước đó sẽ được gắn kèm vào thơng điệp mã hóa. 
4. Mã hóa thơng điệp và gửi khóa chung của người gửi đến người nhận. Thơng điệp đã được mã hóa 
sau đó sẽ được chuyển đến người nhận, kèm với khóa chung của người gửi. Thay vì chuyển khóa chung 
dưới dạng văn bản thuần túy, đầu tiên khóa chung sẽ được mã hóa với khóa chung của người nhận. Để 
giải mã khóa chung đã được mã hóa, người nhận phải dùng chính khóa riêng của mình. Bởi vì khóa 
riêng của người nhận chỉ có mỗi người nhận mới biết, khả năng mà kẻ xâm nhập bất hợp pháp thay đổi 
khóa chung, là rất nhỏ. Khóa chung của người gửi cũng được xem như một phiên khóa (session key). 
5. Q trình nhận thơng điệp và gửi sự kiểm chứng xác nhận. Trong q trình nhận thơng điệp mã hóa 

và khóa chung phía trên. Người nhận có thể địi hỏi CA tương ứng  để xác nhận người gửi. CA sẽ làm 
việc này bằng cách xác nhận chữ ký điện tử được gắn kèm theo thơng điệp và thơng báo với người nhận 
kết quả. Nếu chữ ký được chứng nhận thành cơng, người nhận tiếp tục q trình xữ lý giải mã thơng 
điệp. Nếu khơng thì, thơng điệp nhận được sẽ bị loại bỏ và q trình giao dịch (VPN session) kết thúc. 
6. Giải mã thơng điệp. Sau khi nhận dạng người gửi thành cơng, người nhận sẽ giải mã thơng điệp. Để 
làm việc này, đầu tiên người nhận sẽ giải mã khóa chung của người gửi bằng cách sử dụng chính khóa 
riêng của mình. Khi khóa chung của người gửi được lấy lại thành cơng, người nhận dùng nó để giải mã 
thơng điệp.
7. Kiểm tra nội dung thơng điệp. Cuối cùng, người nhận xác nhận nội dung của thơng điệp vừa nhận. 
Đầu tiên, chữ ký điện tử được giải mã bằng cách sử dụng khóa chung của người gửi và thơng điệp phân 
loại được phục hồi. Thơng điệp giải mã sau đó được băm bằng cách sử dụng hàm băm và một thơng 
điệp phân loại mới được trích ra. Sau đó so sánh thơng điệp phân loại vừa nhận và thơng điệp phân loại 
vừa mới được phát sinh. Nếu chúng tương đồng, dữ liệu sẽ khơng bị chặn và làm xáo trộn trong lúc trao 
đổi.

18


Đề Tài Mạng Máy Tính

Figure 3­6: A generic representation of a PKI­based transaction.
3.4.3 Triển Khai PKI
Như bạn đã biết, Cas giúp thiết lập cho việc nhận dạng của các thực thể giao tiếp với nhau được đúng đắn. Tuy 
nhiên, CAs khơng chỉ chứng nhận cho PKI client, mà cịn cho những CAs khác bằng cách cấp phát những 
chứng nhận số đến chúng. Những CAs đã được chứng nhận, The verified CAs, lần lượt có thế chứng nhận cho 
những CAs khác và chuổi mắc xích này sẽ tiếp tục cho đến khi mỗi thực thể có thể ủy quyền cho những thực 
thể khác có liên quan trong q trình giao dịch. Chuổi chứng nhận này gọi là certification path và sự sắp xếp 
của những CAs trong certification path thì được gọi là PKI chitecture.
Cấu trúc PKI  bao gồm một số loại chính sau đây : 



Single CA architecture 



Trust List architecture 



Hierarchical architecture 



Mesh architecture 

19


Đề Tài Mạng Máy Tính



Hybrid architecture 

3.4.4 Single CA Architecture
Single CA architecture chỉ đơn giản là một cấu trúc PKI. Như  tên gọi ám chỉ, cấu trúc này dựa trên một CA 
đơn, mà dùng để cấp phát chứng nhận, xác thực PKI clients, và khi cần thiết thu hồi lại chứng nhận.  Tất cả 
những thực thể cơ bản đều có mối quan hệ ủy nhiệm với CA này. Bởi vì sự thiếu vắng của CA trong mơ hình, 
cấu trúc này khơng hổ trợ quan hệ ủy nhiệm CA. 


Figure 3­7: The Single CA architecture of a PKI framework.
Cấu trúc CA đơn hoạt động tốt đối với các tổ chức nhỏ bởi vì số PKI client tương đối thấp, và việc quản lý 
những client này thì khơng địi hỏi mất nhiều thời gian.
3.4.5 Trust List Architecture
Một khi số PKI client trong tổ chức tăng lên, việc quản lý các chứng nhận và sự xác minh nhận biết bắt đầu 
phức tạp và địi hỏi thời gian cho một CA đơn. Trong trường hợp này có thể được làm đơn giản hóa bằng việc 
đưa nhiều CAs vào bên trong cấu trúc.
Với nhiều CAs, một PKI client đơn có thể u cầu chứng nhận từ nhiều hơn với một CA. can request 
certificates from more than one CA. Kết quả là mỗi client phải nắm giữ một danh sách các mối quan hệ ủy thác 
với tất cả các CAs trong cơ sở hạ tầng. 

20


Đề Tài Mạng Máy Tính

Figure 3­8: The Trust List architecture of a PKI framework.
Bạn có thể chú ý vào hình 3­8, cấu trúc này khơng hổ trợ quan hệ ủy thác CA. 
3.4.6 Hierarchical Architecture
Hierarchical architecture là một cấu trúc PKI phổ biến thường được triển khai và được th trong những tổ 
chức có quy mơ lớn. Khơng giống những cấu trúc trước đây, mơ hình này dựa trên mối quan hệ ủy thác giữa 
các CAs khác nhau bên trong mơ hình.
Giống như tên gọi ám chỉ, CAs được sắp xếp có cấp bậc và được chia sẽ một kiểu dạng phụ thuộc cấp trên 
("superior­subordinate") của mối quan hệ ủy thác. CA trên cùng (trên đỉnh) được đề cập như CA gốc và được 
xem xét là điểm xuất phát của mơ hình. Nó cấp phát các chứng nhận và xác nhận sự nhận biết CAs cấp dưới của
nó. Các CAs cấp dưới, lần lượt có thể cấp phát chứng nhận cho các PKI client và những CAs cấp dưới của nó. 
Song chúng cũng có thể cấp phát chứng nhận cho cấp trên của nó.

21



Đề Tài Mạng Máy Tính

Figure 3­9: The Hierarchical architecture of a PKI framework.
3.4.7 Mesh Architecture
Khơng giống Hierarchical architecture, trong một Mesh architecture CAs chia sẽ một mối quan hệ ngang hàng 
với nhau. Kết quả là chúng có thể cấp phát các chứng nhận điện tử với nhau, điều này có nghĩa là mối quan hệ 
ủy thác giữa các CAs là vơ hướng. CAs cũng cấp phát chứng nhận cho PKI client. 

Figure 3­10: The Mesh architecture of a PKI framework.
22


Đề Tài Mạng Máy Tính

3.4.8 Hybrid Architecture
Với những cấu trúc trước đây tham khảo đến một tổ chức đơn lẻ. Tuy nhiên, kịch bản và việc triển khai cấu trúc
PKI bắt đầu phức tạp khi tổ chức tác động với các tổ chức khác. Ví dụ, tổ chức này có thể sử dụng cấu trúc lưới,
nhưng trong khi tổ chức khác lại dùng dạng cấu trúc đơn. Trong trường hợp này, Hybrid architecture tỏ ra hữu 
dụng khi nó cho phép q trình tương tác giữa hai tổ chức thành cơng. 
Có 3 loại Hybrid architectures bao gồm:
Extended Trust List architecture. Ơ loại cấu trúc này, tất cả các PKI client lưu trữ một danh sách mở rộng 
của tất cả các điểm ủy thác (trust points) trong cấu trúc của những tổ chức khác và cũng để ủy thác các điểm 
cho chính mình. Một điểm ủy thác trong cấu trúc các tổ chức khác có thể là một CA đơn, nhiều hơn một CA, 
hoặc là tất cả những CAs của các tổ chức khác. 


Figure 3­11: The Extended Trust List architecture of a PKI framework.
Cross­certified architecture. Trong cấu trúc Hybrid, CA gốc của một cơ sở hạ tầng của tổ chức nắm giữ 
mối quan hệ ngang hàng với những gốc CAs của các tổ chức khác.



23


Đề Tài Mạng Máy Tính

Figure 3­12: The Cross­certified architecture of a PKI framework.
Bridge CA architecture. Khơng giống cấu trúc Cross­certified, nơi nào mà tồn tại mối quan hệ ngang hàng 
giữa các CAs gốc trong mỗi cơ sở hạ tầng của tổ chức, một thực thể mới gọi là Bridge CA (BCA) lưu giữ quan 
hệ ngang hàng của giữa các CAs gốc.


24