1
Tiểu luận
CÔNG NGHỆ TRUYỀN DỮ LIỆU TRÊN NỀN TẢNG B2B
2
Contents
TRAO ĐỔI DỮ LIỆU ĐIỆN TỬ- EDI 4
I. KHÁI NIỆM 4
1. Khái niệm 4
2. Lịch sử hình thành và ra đời 4
3. Sự hình thành và phát triển của các chuẩn EDI 5
II. NGUYÊN LÍ HO ẠT ĐỘNG 6
III. LỢI ÍCH CỦA EDI 8
IV. PHÂN LO ẠI 8
Xét trên quan điểm kết nối cơ bản có 2 loại: kết nối trực tiếp và kết nối gián tiếp 8
Dựa trên kết nối internet có 2 loai: EDI truyền thống và Internet EDI: 9
V. TÌNH HÌNH ỨNG DỤNG EDI TRÊN THẾ GIỚI VÀ Ở VIỆT NAM 10
INTERNET EDI 11
I. TỔNG QUAN VỀ INTERNET EDI 11
II. ĐỊNH NGHĨA INTERNET EDI 11
III. PHÂN LO ẠI 11
1. Truyền file: 11
2. Kiểu WWW: 11
IV. LỢI ÍCH 12
V. GIAO THỨC TRUYỀN THÔ NG DÙNG CHO INTERNET EDI 13
1. FTP (File Transfer Protocol) 13
2. SMTP/MIME (Simple Mail Transfer Protocol/Multi-purpose Internet Mail Extension) 13
3. HTTP (Hyper-Text Transmission Protocol) 13
4. Địa chỉ IP (Internet Protocol) 13
VI. CÁC PHƯƠ NG PHẤP KỸ THUẬT ĐẢM BẢO AN NINH 13
Các hiểm họa gặp phải trong EDI: 14
1. Mức IP (phương pháp kiểm tra truy nhập). 14
2. Mức phương pháp truyền thông 17
3. Các biện pháp trực tiếp ngăn ngừa các hành động bất hợp pháp của người giao dịch 19
3
4. Dịch vụ chỉ dẫn 19
5. Các biện pháp đối phó với Virus 20
VPN 21
I. KHÁI NIỆM 21
II. CÁCH THC HOT ĐNG 21
III. LỢI ÍCH CỦA VNP 24
IV. PHÂN LO ẠI MẠNG VNP 25
1. Mạng VPN truy nhập từ xa 25
2. Mạng VPN cục bộ 26
3. Mạng VPN mở rộng 28
V. NHÀ CUNG CẤP 29
1. Viettel IDC của viettel 29
2. Mạng riêng ảo GigaWan của CMC TI 29
3. Dịch vụ MPLS/VPN của FPT Telecom 32
4. Dịch vụ mạng riêng ảo VPN/MPLS của VNPT 35
VI. CHI PHÍ SỬ DỤNG VPN 36
1. Chi phí thấp 37
2. Giảm chi phí đàm thoại đường dài 37
VAN 38
I. KHÁI NIM 38
II. CÁCH THỨC HOẠT ĐỘNG 38
III. ƯU, NHƯỢC ĐIỂM 39
1. Ưu điểm 39
2. Nhược điểm: 39
IV. NHÀ CUNG CẤP 40
VII. CHI PHÍ 40
4
CÔNG NGHỆ TRUYỀN DỮ LIỆU TRÊN NỀN TẢNG B2B
TRAO ĐỔI DỮ LIỆU ĐIỆN TỬ- EDI
I. KHÁI NIỆM
1. Khái niệm
Trao đổi dữ liệu điện tử (Electronic Data Interchange - EDI) là việc trao đổi các dữ
liệu dưới dạng có cấu trúc (stuctured form - có cấu trúc nghĩa là các thông tin trao đổi
được với các đối tác thỏa thuận với nhau tuân thủ theo một khuôn dạng nào đó) từ máy
tính điện tử này sang máy tính điện tử khác, giữa các công ty hoặc đơn vị đã thỏa thuận
buôn bán với nhau, tự động hóa hoàn toàn không cần có sự can thiệp của con người.
Theo Ủy ban liên hợp quốc về luật thương mại quốc tế (UNCITRAL), việc trao đổi dữ
liệu điện tử được định nghĩa như sau: “Trao đổi dữ liệu điện tử (EDI) là việc chuyển giao
thông tin từ máy tính điện tử này sang máy tính điện tử khác bằng phương tiện điện tử, có
sử dụng một tiêu chuẩn đã được thỏa thuận để cấu trúc thông tin”.
EDI có thể rút ngắn đáng kể khoảng thời gian từ lúc bắt đầu giao dịch cho đến khi
thanh toán kết thúc, bằng cách gửi đi những thông tin cần thiết và tránh được sự trùng lặp
trong cả quá trình giao dịch.
EDI là hình thức TMĐT đầu tiên được sử dụng trong doanh nghiệp và nhiều năm
trước đây, trước khi chúng ta nói tới thuật ngữ TMĐT. Cho đến nay EDI vẫn là giao dịch
quan trọng bậc nhất trong TMĐT B2B
Các dữ liệu trong giao dịch B2B bao gồm các thông tin được chứa đựng truyền
thống trong các hóa đơn, phiếu đặt hàng, yêu cầu báo giá, vận đơn và báo cáo nhận hàng.
Dữ liệu thuộc 5 loại chứng từ kể trên chiếm tới 75% tổng tất cá các thông tin trao đổi
giữa các đối tác thương mại ở Mỹ.
2. Lịch sử hình thành và ra đời
Vào những năm 1960, những doanh nghiệp có khối lượng giao dịch lớn bắt đầu
trao đổi thông tin qua các phiếu đục lỗ hay băng từ.
Vào những năm 1968, một số lượng lớn các công ty vận tải của Mỹ liên kết với
nhau hình thành nên ủy ban điều phối dữ liệu vận tải (TDCC- Transportation data
coordinating committee), ủy ban này chịu trách nhiệm nghiên cứu các cách thức giảm
thiểu khối lượng công việc giấy tờ mà các nhà vận chuyển phải thực hiện. Ủy ban này đã
5
tạo ra một hệ thống thông tin chuẩn bao gồm tất cả các thành phần dữ liệu được chứa
một cách phổ biến trong các vận đơn, hóa đơn, tờ khai vận chuyển và các mẫu giấy tờ
khác.
Thay cho việc in mẫu ra giấy, người vận chuyển có thể chuyển thông tin về
chuyến hàng vào file dữ liệu máy tính tương thích với các định dạng chuẩn TDCC ->
dạng thức đầu tiên của EDI
3. Sự hình thành và phát triển của các chuẩn EDI
Năm 1979, ANSI hình thành nên một ủy ban mới có nhiệm vụ thống nhất các
chuẩn EDI.ủy ban này mang tên ủy ban tiêu chuẩn được ủy quyền X12 (ASC X12-
Accredited Standard Committee X12)
Tiêu chuẩn thông thường gồm các đặc tả cho vài trăm sét giao dịch ( Transaction
Sét), đó là tên của các định dạnh (format) cho các trao đổi dữ liệu kinh doanh đặc thù.
Các set giao dịch ASC X12 sử dụng phổ biến
104
Thông tin v
ậ
n t
ả
hàng không
829
Yêu c
ầ
u h
ủ
y thanh toán
110
Các chi ti
ế
t và hóa đơn v
ậ
n t
ả
i hàng
không
840
Yêu c
ầ
u báo giá
125
Thông tin v
ậ
n t
ả
i đư
ờ
ng b
ộ
cao c
ấ
p
846
Thông tin v
ề
hàng t
ồ
n kho
151
Gi
ớ
i thi
ệ
u l
ậ
p file đi
ệ
n t
ử
d
ữ
li
ệ
u
thuế doanh thu
847
Yêu c
ầ
u v
ề
v
ậ
t li
ệ
u
170
Thông báo và thông tin hàng hóa
850
Phi
ế
u đ
ặ
t mua hàng
Mặc dù các chuẩn ASC X12 được các hãng lớn ở Mỹ nhanh chóng chấp nhận, các
doanh nghiệp thuộc các nước khác trong nhiều rường hợp vẫn tiếp tục sử dụng các chuẩn
của quốc gia mình
- Vào giữa những năm 1980, Ủy ban kinh tế châu Âu thuộc Liên Hợp Quốc
đã mời Bắc Mỹ và các chuyên gia EDI châu âu cùng hợp tác xây dựng một bộ các chuẩn
EDI chung dựa trên các kinh nghiệm thành công của các hãng Mỹ trong việc sử dụng các
chuẩn ASC X12.
- Năm 1987, Liên hiệp quốc đã công bố những chuẩn đầu tiên dưới tên gọi
EDI cho quản trị, thương mại và vận tải (EDIFACT, hay UN/EDIFACT)
Một số sét giao dịch UN/EDIFACT sử dụng phổ biến
BOPCUS
Báo cáo v
ề
cân đ
ố
i thanh
IFTC
CA
Tính chi phí g
ử
i
6
toán giao d
ị
ch khách hàng
và v
ậ
n chuy
ể
n
hàng
CREADV
Báo n
ợ
QUOTES
Yêu c
ầ
u báo giá
CUSDEC
Kê khai h
ả
i quan
INVRPT
Thông báo t
ồ
n
kho
DELFOR
L
ị
ch phân ph
ố
i
REMADV
Nh
ậ
n thông báo
trả nợ
HANMOV
V
ậ
n chuy
ể
n
và b
ả
o qu
ả
n
hàng hóa
STATAC
Di
ễ
n gi
ả
i tài
khoản
Tổ chức ASC X12 đã đồng ý chuyển các chuẩn của Mỹ sang các chuẩn quốc tế
UN/EDIFACT. Tuy nhiên, chưa xác định thời điểm cuối cùng cho việc hoàn thành việc
dịch chuyển này.
Một số ý kiến phê phán các chuẩn EDI hiện hành cho rằng việc các chuẩn này dựa
trên các mẫu chuẩn chúng từ giấy làm cho việc tích hợp các dòng dữ liệu EDI vào các hệ
thồng thông tin định hướng quá trình kinh doanh trở nên khó thực hiện.
Việc chuyển đổi các sets giao dịch EDI hướng tới các quá trình kinh doanh thay
cho các mẫu giao dịch qua giấy tờ có thể đòi hỏi phải thiết kế lại hoàn toàn các mẫu
chuẩn, mà các mẫu này trở thánh một bộ phận của cơ sở hạ tầng CNTT của nhiều tổ chức
trong 30 năm qua.
II. NGUYÊN LÍ HOẠT ĐỘNG
EDI có thể rút ngắn đáng kể khoảng thời gian từ lúc bắt đầu giao dịch cho đến khi
thanh toán kết thúc, bằng cách gửi đi những thông tin cần thiết và tránh được sự trùng lặp
trong cả quá trình giao dịch.
Quy trình hoạt động của EDI như sau :
Chuẩn bị tài liệu điện tử
Dịch dữ liệu để chuyển đi
Truyền thông
Dịch dữ liệu đến
Xử lý tài liệu điện tử
Để ứng dụng EDI giữa các bên với nhau thì trước tiên cần phải yêu cầu những bên
tham gia cần phải tích hợp, sử dụng hệ thống EDI.Các bên tham gia sẽ truyền và nhận dữ
liệu điện tử dưới dạng chuẩn EDI. Và hiện nay thông thường sử dụng 2 dạng chuẩn đó là:
ANSI ASC X12 và UN/EDIFACT.
7
Bước 1: Bên gửi dữ liệu điện tử sẽ chuẩn bị tài liệu điện tử. Nghĩa là họ
phải mã hóa dữ liệu điện tử của họ dưới dạng chuẩn EDI dựa vào hệ thống phần mềm của
mình. Như trên sơ đồ chúng ta có thể nhận thấy các bước thực hiện ở đây:
Bước 2: Dịch dữ liệu để truyền thông: ở bước này: từ bộ chuyển đổi EDI
Phong bì EDI cho thông điệp truyền tải modern. Để chuẩn bị truyền dữ liệu điện tử thông
qua các phương tiện điện tử.
Bước 3 : Truyền thông. Truyền EDI trong môi trường mạng. Ở đây sẽ có 2
cách để thực hiện truyền EDI và mỗi cách đều có những ưu điểm và nhược điểm riêng
của nó.
- Truyền EDI thông qua môi trường internet công cộng. Phương pháp này có
ưu điểm là tốn ít chi phí, nhưng độ an toàn bảo mật không cao. Dữ liệu có thể dễ dàng bị
thay đổi trên đường truyền tới đối tác của mình.
- Truyền EDI thông qua mạng VAN riêng. Nghĩa là sẽ có những công ty
đứng ra lập các đường dây mạng để kết nối các đối tác với nhau. Phương pháp này có
nhược điểm là rất đắt nhưng có ưu điểm là độ bảo mật được thực hiện một cách tuyệt đối.
Tài liệu không thể bị thay đổi do truyền trong một đường dây riêng.
Bước 4: Dịch dữ liệu đến. dữ liệu modern Phong bì EDI cho thông điệp
truyền tải chuyển định dạng trong. Ở đây với hệ thống phần mềm của mình, bên nhận sẽ
tiến hành dịch các dữ liệu mà bên gửi gửi thông qua bộ hệ thông phần mềm của họ dựa
trên các chuẩn EDI.
Bước 5: Xử lí tài liệu điện tử . Tại liệu sau khi được dịch sẽ được chuyển
đến hệ thống điện tử. Và ở đây tài liệu điện tử sẽ được bên nhận xử lí.
Khi giao dịch được thực hiện bằng EDI, hệ thống máy tính của công ty bạn sẽ hoạt
động như một kho dự trữ các dữ liệu cần thiết để hỗ trợ các giao dịch đó.Khi được sử
dụng, EDI rút thông tin từ những ứng dụng của công ty và truyền tải các chứng từ giao
dịch phi giấy tờ dưới dạng máy tính đọc được qua đường dây diện thoại hoặc các thiết bị
viễn thông khác.Ở đầu nhận, dữ liệu có thể nhập trực tiếp vào hệ thống máy tính của đối
tác, được tự động xử lý với các ứng dụng nội bộ tại nơi nhận. Toàn bộ quá trình này diễn
ra trong vài phút mà không cần phải gõ lại thông tin và tránh cho các bên những phiền
toái về giấy tờ đi kèm với việc xử lý văn bản bằng tay. Sử dụng EDI qua đó sẽ giúp tăng
giá trị khoản đầu tư của công ty bạn cho việc ứng dụng phần mềm giao dịch. Hơn nữa
việc tạo, gửi và nhận các chứng từ giao dịch EDI có thể được tự động hoá và tích hợp với
những ứng dụng máy tính hiện hành trong nội bộ công ty.
8
III. LỢI ÍCH CỦA EDI
Khi sử dụng EDI, các phần mềm ứng dụng của công ty bạn có thể gửi chứng từ
giao dịch trực tiếp đến hệ thống máy tính của đối tác mà không cần sự can thiệp của con
người như các bạn đã thấy sơ qua trong ví dụ về quy trình giao dịch ở phần A. EDI giúp
giảm thiểu công sức của nhân viên và hạn chế những chậm trễ hay lỗi thường đi kèm với
việc xử lý chứng từ bằng tay. Bằng cách đơn giản hoá và tinh giảm các quy trình giao
dịch, EDI có thể giúp công ty bạn kiểm soát được chi phí, tăng tính hiệu quả và cải thiện
trình độ phục vụ khách hàng.
Những ích lợi chung nhất của EDI là tốc độ cao, tính kinh tế và sự chính xác
trong việc xử lý chứng từ giao dịch. Cụ thể hơn, EDI đem lại những lợi ích sau:
• Sự tiện lợi của việc trao đổi chứng từ giao dịch cả trong và ngoài giờ làm việc
• Chi phí giao dịch thấp hơn
• Dịch vụ khách hàng tốt hơn
• Khả năng đối chiếu so sánh chứng từ tự động, nhanh chóng và chính xác
• Dữ liệu được lưu chuyển một cách hiệu quả hơn cả ở mức nội bộ và liên công ty.
• Quan hệ đối tác đem lại hiệu suất cao hơn
IV. PHÂN LOẠI
Xét trên quan điểm kết nối cơ bản có 2 loại: kết nối trực tiếp và kết nối gián
tiếp
Kết nối trực tiếp các đối tác thương mại
• Kết nối EDI trực tiếp yêu cầu mỗi doanh nghiệp tham gia mạng EDI phải vận
hành một máy tính phiên dịch riêng của mình.
• Các máy tính này kết nối trực tiếp với nhau bằng các sử dụng modem và qua các
đường dây điện thoại hoặc các đường thuê bao riêng.
• Phương án kết nối qua điện thoại trở nên bất tiện khi các đối tác nằm ở các múi
thời gian khác nhau với các giao dịch nhạy cảm về thời gian, và khi khối lượng giao dịch
lớn.
• Phương án sử dụng đường dây thuê bao riêng trở nên rất đắt đỏ đối với doanh
nghiệp, đặc biệt khi họ phải duy trì rất nhiều kết nối với những đối tác khác nhau. Các đối
9
tác thương mại thường dùng các giao thức truyền thông khác nhau, điều này làm cho cả
hai phương án kết nối trực tiếp đều khó thực hiện
Kết nối gián tiếp các đối tác thương mại sử dụngVAN – Mạng giá trị gia
tăng
( sẽ nói chi tiết ở phần sau)
Dựa trên kết nối internet có 2 loai: EDI truyền thống và Internet EDI:
EDI truyền thống EDI trên cơ sơ Internet
Định nghĩa Là sự chuyển thông tin từ máy tính
này sang máy tính khác bằng
phương tiện điện tử theo một tiêu
chuẩn đã được thỏa thuận về cấu
trúc thông tin
Là sự trao đổi thông điệp cho các giao
dịch kinh doanh giữa các máy tính của
các tổ chức khác nhau bằng cách sử
dụng các thỏa thuận chuẩn ( các hiệp
định khác nhau được đồng ý rộng rãi
trên thế giới đến mức có thể đươc) qua
Internet.
Đặc điểm
Sử dụng mạng giá trị gia tăng
làm cầu nối để các máy tính điện tử
có thể liên lạc với nhau, để lưu trữ
và tìm kiếm
Tốn chi phí cho việc đóng
gói, vận chuyển….trực tiếp đến tay
người mua.
Việc trao đổi giữa các đơn vị,
công ty về nội dung, dung liệu thì
được trao đổi dưới dạng hiện vật, và
trực tiếp )
Sử dụng mạng Internet là
phương tiện chính của EDI với nhiều
chức năng hơn
Tiết kiệm được chi phí cho việc
đóng gói, vận chuyển…vì được giao
dịch thông qua Internet.
Việc trao đổi giữa các đơn vị,
công ty về nội dung, dung liệu thì
được trao đổi dưới dạng số hóa và
truyền gửi theo mạng ( hay còn gọi là
giao gửi số hóa
10
V. TÌNH HÌNH ỨNG DỤNG EDI TRÊN THẾ GIỚI VÀ Ở VIỆT NAM
Hàn quốc: ở Hàn quốc tất các các thông điệp thương mại điện tử (EDI,XML hay
XMl/EDI) đều được chuẩn hóa bởi ủy ban EDIFACT Hàn Quốc – KEC. 610 thông điệp
chuẩn (262EDI,53XML/EDI,295 XML) cụ thể trong các ngành, lĩnh vực như thương
mại, bảo hiểm, tài chính, hải quan, điện tử, đóng tàu, vận tải biển, phân phối oto xe
máy…
Nhật bản: hội đồng trao đổi dữ liệu điện tử (JEDIC) là tổ chức hoạt động nhằm
phổ biến và thúc đẩy EDIFACT, thúc đẩy quá trình chuẩn hóa với cả người bán và người
mua cho các giao dịch kinh doanh. Kết quả cho thấy 59,4% hiện nay đang áp dụng EDI
trong công tác hành chính và 53,9% áp dụng EDI cho công tác marketing.
Việt Nam:
Cảng Hải Phòng ngày 21/11/2003, Cảng Hải Phòng đã triển khai xây dựng hệ
thống kết nối dữ liệu điện tử EDI với hàng tàu APM. Ngày 14.6.2004, sau hơn 6 tháng
phối hớp với hãng tàu APM, toàn bộ hệ thống EDI đã được xây dựng và hãng tàu đã
chính thức dùng sô liệu EDI để triển khai container tại Cảng Hải Phòng. Hệ thống được
xây dựng theo hệ thống tiêu chuẩn quốc tế EDIFACT.
Ulilever Việt Nam: Năm 2007, Unilever VN và Metro Cash & Carry đã triển khai
trao đổi dự án trao đổi dữ liệu điện tử (EDI) trong giao dịch đặt hàng. Hiện nay, Unilever
mới chỉ triển khai EDI đối với quy trình đạt hàng trong 1 1 siêu thị và 240 nhà phân phối,
từ dự án này Unilever sẽ mở rộng rộng khắp đến các nhà phân phối trên cả nước.
11
INTERNET EDI
I. TỔNG QUAN VỀ INTERNET EDI
Các mô hình EDI trước đây phải dùng các đường truyền dành riêng, có đầu tư ban
đầu rất lớn, chi phí vận hành cao và thiếu người được đào tạo.Đó là trở ngại nghiêm trọng
để các doanh nghiệp vừa và nhỏ (SME) thực hiện EDI.Ngày nay, với sự phổ biến của
mạng toàn cầu mở Internet, việc hiện thực hoá EDI là rất đúng lúc, vì giá thành truyền
thông thấp và tính dễ thực hiện của nó.
Bên cạnh đó, cũng có người nêu ra tính không phù hợp của việc dùng Internet cho
EDI vì lý do an toàn bảo mật. Việc nghe trộm, dữ liệu giả, sự mạo danh và những điểm
yếu của Internet, nhưng cũng phải nhìn nhận rằng chúng đang được giải quyết nhờ các
công nghệ mật mã hoá và bức tường lửa. Trong Internet EDI, công nghệ khước từ (trong
tiếng Anh dùng tiền tố “non-“ để chỉ các công nghệ này) như không nhận (non-receipt),
không gửi (non-sending) là một trong những chức năng quan trọng nhất và điều này đang
được thực hiện qua việc sử dụng công nghệ chữ ký điện tử dùng các kỹ thuật mật mã.
II. ĐỊNH NGHĨA INTERNET EDI
Dựa trên định nghĩa của EDI, Internet EDI được định nghĩa là sự trao đổi thông
điệp cho các giao dịch kinh doanh giữa các máy tính của các tổ chức khác nhau bằng
cách sử dụng các thoả thuận chuẩn (các hiệp định khác nhau được đồng ý rộng rãi trên
thế giới đến mức có thể được) qua Internet. Sau đây là các thoả thuận chuẩn có thể dùng
cho việc truyền thông tin và biểu diễn thông tin, nhưng phải bổ sung thêm các thoả thuận
mới khi chuyển từ đường truyền thông hiện tại sang Internet.
III. PHÂN LOẠI
Có 2 loại Internet EDI như sau:
1. Truyền file:
Là mở rộng của EDI kiểu truyền theo lô hiện tại, trong đó thông điệp EDI được
truyền và nhận trong dạng file. Giao thức truyền thông chuẩn được sử dụng bao gồm giao
thức FTP (giao thức truyền file), SMTP/MIME (giao thức thư ) hoặc giao thức ZENGIN
(Liên đoàn các hiệp hội ngân hàng Nhật Bản), dựa trên TCP/IP… Giao thức ZENGIN chỉ
được dùng trong nội đia của Nhật.
2. Kiểu WWW:
Bằng cách chuyển đổi thông điệp EDI sang định dạng HTML và đăng ký trên máy
phục vụ WWW, thông điệp EDI có thể đọc được và nhập vào dễ dàng từ trình duyệt
WWW. HTTP được sử dụng như giao thức truyền thông.
12
IV. LỢI ÍCH
Internet cũng làm một cuộc cách mạng hoá nền thương mại điện tử doanh nghiệp
đến doanh nghiệp. EDI thông qua Internet đã rẻ hơn rất nhiều so với VANs và những
người sử dụng EDI ở qui mô lớn đã phát triển những hệ thống giao dịch trực tuyến của họ
dựa trên web dựa trên những ngôn ngữ đánh dấu tương thích với Web thay cho những tài
liệu EDI cứng nhắc. Nǎm 2001, một phiên bản của XML được thiết kế cho thương mại
điện tử, được gọi là ebXML, đã chính thức được chuẩn hoá và những người sử dụng ngày
nay đang tiến hành kết hợp những yếu tố tốt nhất của EDI và ebXML để tạo ra một loại
hình thương mại điện tử hoàn hảo hơn.
Những lợi ích mà EDI trên cơ sở internet đem lại:
- Giảm chi phí giao dịch cho việc trao đổi thông tin, chi phí giấy tờ, thư tín
- Tiết kiệm thời gian vì không cần phải nhập lại thông tin nhiều lần
- Giảm chi phí xử lý dữ liệu bằng tay
- Tang tính chính xác của thông tin, giảm lỗi sai sót do không phải nhập lại
số liệu nhiều lần
- Hệ thống lưu trữ thông điệp khẳng định văn bản đã được giao đến cho đối
tác và có thể theo dõi đường đi của hàng hóa trong từng giai đoạn
- Được sử dụng cùng với hệ thống lưu kho tự động, EDI giúp giảm thời gian
lưu kho, giảm số lượng hàng tồn kho
- Chu trình giao dịch thương mại nhanh hơn có nghĩa đáp ứng nhu cầu của
khách hàng hiệu quả hơn
- Có cơ hội thúc đẩy các hoạt động cung cấp và sản xuất nhằm tăng tính cạnh
tranh của công ty và của cả ngành công nghiệp
- Cải thiện mối quan hệ thương mại, củng cố quan hệ giữa khách hàng và nhà
cung cấp
- Giữ được các khách hàng quan trọng và có thể sử dụng như một công cụ
tiếp thị nhằm thu hút các khách hàng mới
- Giúp các doanh nghiệp đứng vững trên thị trường. Một số công ty lớn yêu
cầu các công ty đối tác phải sử dụng EDI mới tiến hành kinh doanh
- Không những vậy, trong các giao dịch thương mại của các công ty chúng ta
nên sử dụng EDI vì khi sử dụng EDI, các phần mềm ứng dụng của công ty bạn có thể gửi
chứng từ giao dịch trực tiếp đến hệ thống máy tính của đối tác mà không cần sự can thiệp
của con người. EDI giúp giảm thiểu công sức của nhân viên và hạn chế những chậm trễ
hay lỗi thường đi kèm với việc xử lý chứng từ bằng tay. Bằng cách đơn giản hóa và tinh
giảm các quy trình giao dịch, EDI có thể giúp công ty bạn kiểm soát được chi phí, tăng
tính hiệu quả và cải thiện trình độ phục vụ khách hàng.
13
V.
GIAO THỨC TRUYỀN THÔNG DÙNG CHO INTERNET EDI
1. FTP (File Transfer Protocol)
FTP là giao thức truyền file phổ biến nhất được sử dụng qua mạng TCP/IP
.
Các phương pháp xác nhận truyền như kiểm tra kích cỡ file được yêu cầu để
kiểm tra dữ liệu được gửi và nhận không bị rò rỉ. Khi kết nối máy phục vụ FTP tới
Internet, phải có các biện pháp an ninh mạng như cài đặt bức tường lửa trong mạng
LAN nội bộ.
2. SMTP/MIME (Simple Mail Transfer Protocol/Multi-purpose Internet
Mail Extension)
SMTP/MIME là giao thức truyền thư được sử dụng bởi mạng TCP/IP. Chỉ các
chuỗi ký tự mới có thể truyền hoặc nhận bởi SMTP và việc chuyển đổi (mã hóa)
thành các chuỗi ký tự bằng phương pháp MIME sẽ cho phép truyền các file có chứa
các dữliệu nhị phân.
3. HTTP (Hyper-Text Transmission Protocol)
Giao thức được sử dụng để truyền và nhận dữ liệu HTML giữa máy phục vụ
WWW và trình duyệt.
4. Địa chỉ IP (Internet Protocol)
VI. CÁC PHƯƠNG PHẤP KỸ THUẬT ĐẢM BẢO AN NINH
Nói chung bảo mật là một vấn đề quan trọng trong Internet. Vùng bảo mật rất
rộng. Trong EDI, hiểm họa quan trọng là sự giả mạo người dùng, việc sử dụng trái
phép và nghe trộm. Đặc biệt trong sử dụng Internet, vì những thuê bao cá nhân tồn tại
và không bị hạn chế như trong mạng VAN hiện tại, nên việc đảm bảo an ninh Internet
sẽ bị giới hạn.
Do vậy vấn đề an ninh tại đầu dùng cuối hết sức quan trọng. Để hiện thực hoá,
cần có các biện pháp ở mức truyền thông và mức ứng dụng với quy mô đáng kể.Sau
đây là các biện pháp ở mức truyền thông.
Các biện pháp ở mức phương pháp truyền thông bao gồm mức IP và mức
phương pháp truyền thông.Cũng cần chọn phương pháp bảo mật nào được chấp nhận
hoặc phần nào trong hệ thống EDI cần áp dụng, khi xem xét tốc độ xử lý và tính dễ
dàng thực hiện mức bảo mật cần thiết cho Internet EDI.
14
Các hiểm họa gặp phải trong EDI:
-
Giả mạo người dùng: Một người nào đó giả mạo là một người dùng máy
tính A để truy cập một máy phục vụ nhằm lừa đảo máy phục vụ và người dùng máy
A. Khi người dùng máy A bị giả mạo, thông tin trên máy A sẽ bị đánh cắp, thông tin
liên quan đến A trên mạng cũng bị đánh cắp và chúng có thể bị thay đổi hoặc bị phá
hủy. Phạm vi phá hoại của việc giả mạo trong trương mục trên mạng nằm trong khu
vực có thể với tới được của máy tính đó. Vì vậy nếu người quản trị mạng bị giả mạo
thì sự thiệt hại có thể rất nghiêm trọng. Thông tin trên máy phục vụ sẽ bị đánh cắp.
Hơn nữa, kẻ tội phạm máy tính có thể truy cập máy phục vụ khác thông qua việc sử
dụng thông tin có được từ máy tính này.
-
Sử dụng trái phép PC hoặc máy phục vụ: Kẻ tội phạm máy tính truy cập
trái phép một tập tin hoặc một chương trình trên một PC hoặc một máy phục vụ để lấy
thông tin, sửa đổi và cuối cùng phá hủy chúng. Hơn nữa chúng có thể dùng để phá
hủy chức truyền thông.
-
Mắc trộm để nghe lén, nhìn trộm một cách phi pháp những thông tin
truyền qua mạng và sửa đổi chúng.
-
Nặc danh những dữ liệu truyền.
1. Mức IP (phương pháp kiểm tra truy nhập).
Khái niệm: Là phương pháp cho phép tất cả các gói IP, và kiểm soát gói
nào thì phải hạn chế (loc). Thông thường, bằng cách giới hạn các dịch vụ cần thiết ở
mức tối thiểu sẽ ngăn chặn được việc truyền bất hợp pháp.
Ý tưởng cơ bản của việc lọc như sau:
-
Chỉ cho qua các gói dịch vụ được yêu cầu
-
Không cho qua các gói dịch vụ không sử dụng
-
Cho qua một cách có chọn lọc các gói trong mạng của người dùng.
Các phương pháp đảm bảo an ninh như sau:
a. Chức năng lọc dữ liệu của gói định đường.
Chức năng này cho phép truy cập tới ứng dụng ở lớp cao hơn theo địa chỉ IP
của nguồn truyền hoặc đích truyền tại mức của một gói hoặc số hiệu của cổng TCP
trong tiêu đề gói IP. Gói IP được cho phép qua hay bị ngăn lại tùy theo sự tổ hợp giữa
“địa chỉ nguồn truyền, số hiệu của cổng” và “địa chỉ đích truyền, số hiệu của cổng”.
Các gói được phép sẽ trực tiếp tới được máy tính có địa chỉ gửi đến.
15
Ví dụ có thể lọc dữ liệu bằng máy tính hoặc mạng con.Mặc dầu có thể thực
hiện lọc với hiệu năng cao, vẫn không có chức năng xác thực và việc lọc đó bị giới
hạn. Mặt hạn chế nữa là từ bên ngoài có thể nhìn thấy địa chỉ IP ở bên trong
b. Bức tường lửa
Nói chung, bức tường lửa được thực hiện bằng thiết bị máy phục vụ với chức
năng cổng ứng dụng. Chức năng này quản lý việc cho phép hoặc ngăn chặn các địa
chỉ và dịch vụ đặc biệt không cho đi tiếp (HTTP, FTP, Telnet, v.v ).
Thông thường, tùy theo người sử dụng có yêu cầu dịch vụ hay không, việc kết
nối với ứng dụng mạng (Telnet, FTP, SMTP, v.v ) bao gồm cả nguồn truyền và đích
truyền, đều bị kiểm soát. Vì mọi kết nối đều được truyền từ ngoài bức tường lửa,
thông tin về kiến trúc của mạng riêng sẽ không bị truyền ra ngoài.
Hơn nữa, do không thể truyền gói và trao đổi thông tin về đường dẫn giữa
mạng bên trong và bên ngoài nên những nhược điểm trong việc tấn công vào trong bộ
định tuyến nguồn có thể được khắc phục tốt hơn. Để làm cho những phương pháp này
có hiệu lực, đòi hỏi phải có các biện pháp sau trong việc xây dựng mạng:
o
Đặt máy phục vụ dịch vụ trên một segment ở bên trong bức tường lửa
o
Tách biệt với mạng của tổ chức bằng cách dùng một địa chỉ IP riêng
(quy định trong RFC 1597 – RFC là viết tắt của Request For Comments)
o
Những phát triển khác của công nghệ bảo mật ở mức IP được trình bày ở
các phần sau đây.
c. IP phiên bản 6 (IPv6).
Địa chỉ IP thế hệ mới của Internet IPv6 (IP Address Version 6) được Nhóm
chuyên trách về kỹ thuật IETF (Internet Engineering Task Force) của Hiệp hội
Internet đề xuất thực hiện kế thừa trên cấu trúc và tổ chức của IPv4.
IPv4 có 32 bít địa chỉ với khả năng lý thuyết có thể cung cấp một không gian
địa chỉ là 232 = 4 294 967 296 địa chỉ. Còn IPv6 có 128 bit địa chỉ dài hơn 4 lần so
với IPv4 nhưng khả nǎng lý thuyết có thể cung cấp một không gian địa chỉ là 2128 =
340 282 366 920 938 463 463 374 607 431 768 211 456 địa chỉ, nhiều hơn không gian
địa chỉ của IPv4 là khoảng 8 tỷ tỷ tỷ lần vì 232 lấy tròn số là 4.10 9 còn 2128 lấy tròn
số là 340. 10 36 (khoảng 340 tỷ tỷ tỷ tỷ địa chỉ).
Đây là một không gian địa chỉ cực lớn với mục đích không chỉ cho Internet mà
còn cho tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển và thậm
chí cho từng vật dụng trong gia đình. Nhu cầu hiện tại chỉ cần 15% không gian địa chỉ
IPv6 còn 85% dự phòng cho tương lai.
16
Với cấu trúc của IPv6, các vấn đề cần quan tâm không còn là việc thiếu địa chỉ
hoặc giới hạn (mật mã hoá, xác thực, cấu hình động…) nữa.
d. IPsec (Mật mã hóa giao thức IP)
Khái niệm mở đầu về IPsec
IPsec (RFC1825 đến RFC1828, RFC – Request For Comments) được đề xuất
như một khung về mật mã hoá và xác thực có thể ứng dụng được cả cho IPv4 và IPv6.
Bằng cách đưa ra cơ chế xác thực mã hoá cho chính việc trao đổi bằng IP, sẽ giải
quyết đuợc các vấn đề như nghe trộm, và giả mạo dữ liệu.
Ipsec là khái niệm chung cho hai hoặc nhiều giao thức thực thi các truyền thông
mật mã hóa ở lớp mạng. Nó chỉ định các hệ thống như chứng thực, mật mã hóa các
gói và một quy trình quản lý khóa. Chức năng của IPsec là: mật mã hóa các gói IP
bằng các khóa chung của máy phục vụ gửi và nhận, và chứng thực máy phục vụ
truyền tin được đặt ở phần đầu của IPsec.
Đặc tính của IPsec là thuật toán chứng thực và mật mã hóa và cấu trúc quản lý
mật mã hóa được tách khỏi giao thức của IPsec.
Mối quan hệ trong đó một cặp máy phục vụ liên lạc sử dụng giao thức IPsec
dùng chung thuật toán chứng thực và mật mã hóa và chung khóa mật mã được gọi là
liên kết an ninh (SA-security association). Nó được chỉ định bởi con trỏ chỉ số tham
biến an ninh (SPI-Security Parameters Index) được chứa ở phần đầu của IPsec, trong
đó SA tương ứng với một gói IP cụ thể.
Trong IPsec, phần đầu chứng thực (AH-Authentication Header) được dùng để
chứng thực phần đầu IP, địa chỉ IP (đích và nguồn) của cùng một gói. Kiểm tra tổng
của phần đầu IP được chứa ở AH, và nó giúp phát hiện sự sửa đổi phần đầu IP.
Phần đầu của khối an ninh gói gọn (ESP-Encapsulating Security Payload) được
dùng khi mã hóa dữ liệu một gói IP. Khối đã mã hóa được lưu trong phần chính của
phần đầu ESP.
Quản lý mã hóa trong IPsec
Trong truyền thông IPsec, cần thiết lập một SA để chia sẻ thông tin về một mã
khóa trước khi bắt đầu liên lạc.Tuy nhiên trong một hệ thống mà mã khóa được thiết
lập thủ công, việc quản lý sẽ phức tạp và sẽ không linh hoạt khi mở rộng các chức
năng.Vì vậy cần thiết phải có một giao thức quản lý mã khóa nhằm có thể trao đổi
thông tin về mã khóa một cách năng động. IKE (Internet Key ExchangeTrao đổi mã
khóa Internet) do hãng Sysco đề xuất đã được sử dụng thành chuẩn giao thức quản lý
mã khóa của IP sec. Việc trao đổi mã khóa phiên được tiến hành dựa trên phương
17
pháp mã hóa khóa chung của Diffie-Hellman. Đầu tiên xác định thuật toán mã hóa
dùng cho giai đoạn sau đó và tạo ra một mã khóa theo hệ thống “DiffieHellman”. Sau
đó, thực hiện thỏa thuận các thông tin khác nhau cần thiết cho liên lạc IPsec, như một
số tuần tự cho truyền thông mã hóa và xác định thuật toán mã hóa và trao đổi một mã
khóa.
Có 3 giao thức chủ yếu là:
- IKE (Internet Key Exchange): trao đổi mã khóa Internet.
- ESP (Encapsulating Security Payload): Khối an ninh gói gọn.
Một gói IP được mã hóa, gắn thêm 3 thông tin SPI, số tuần tự và thông tin chứng thực
và gói thành một khối gọi là ESP, sau đó được truyền tới nơi nhận.
- SPI (Security Parameters Index-Chỉ số tham biến an ninh). Đây là định
danh của SA tương ứng. Ở phía nhận ESP, giá trị này chỉ định thuật toán mã hóa và
mã khóa cho giải mã.
Số tuần tự: Đây là con số tuần tự được gắn thêm vào các gói IPsec dùng để chống lại
các “tấn công gửi lại”, đó là gửi lặp lại một gói nào đó bị theo dõi và bị bắt giữ rồi
khống chế liên lạc. Bên nhận sẽ loại trừ một gói sai lệch dựa trên
kiểm tra con số tuần
tự này.
Thông tin chứng thực: Chức năng của nó là đảm bảo tính toàn vẹn của dữ liệu được
truyền và chứng thực các máy phục vụ gửi và nhận. Đây là kết quả của phép tính hàm
phân tách gọi là MAC (Message Authentication Code-Mã chứng thực thông điệp),
cho dữ liệu truyền và mật khẩu.
AH (Authentication Header-Phần đầu chứng thực)
AH được dùng để thực hiện “đảm bảo toàn vẹn” và “chứng thực của cả máy phục vụ
gửi và nhận” trong trường hợp xấu nhất.
Một gói IP không được mật mã hóa mà gắn thêm AH với 3 thông tin SPI, số tuần tự,
thông tin chứng thực tạo thành một gói IP và được truyền tới nơi nhận.
2. Mức phương pháp truyền thông.
a. SSL (Secure Socket Layer)
18
Giao thức bảo mật cho Internet đối với các ứng dụng TCP được phát triển bởi
Netscape được lắp vào giữa giao thức TCP và các giao thức ứng dụng như HTTP và
FTP Các gói ứng dụng HTTP, FTP, v.v được mã hóa bằng phương pháp mã hóa được
mô tả trước bởi SSL và được truyền như dữ liệu SSL. Do đó, SSL có thể được sử
dụng không chỉ cho việc mã hóa đường truyền thông giữa máy phục vụ WWW và
máy khách WWW, mà còn cho việc mã hóa đường truyền dữ liệu theo FTP, Telnet,
v.v…
SSL được thực hiện giữa lớp truyền tải và lớp ứng dụng và bao gồm hai lớp
phụ:
- Lớp phụ dưới chịu trách nhiệm truyền và nén dữ liệu.
- Lớp phụ trên thực hiện các thỏa thuận về xác nhận một chữ ký số và việc
mã hóa Ở SLL thực hiện việc thỏa thuận về thuận toán cho chứng thực, mã hóa và
chữ ký số, v.v sẽ được các bên sử dụng, sau đó nó các bên xác nhận và truyền dữ liệu
ứng dụng.
Chức năng của SSL:
- Xác nhận một máy phục vụ: Khách dùng có thể thẩm tra chứng nhận của
máy phục vụ. Một CA (Certification Authority) ủy thác sẽ cấp chứng nhận cho máy
phục vụ trong đó công nghệ mã hóa khóa chung sẽ được dùng khi khách hàng gửi yêu
cầu tới CA.
- Chứng thực một khách hàng: Máy phục vụ có thể kiểm tra tên và mật
khẩu của người dùng. Máy phục vụ có thể thẩm tra chứng nhận của người dùng. Một
CA ủy thác sẽ cấp chứng nhận cho người dùng và công nghệ mã hóa khóa chung sẽ
được dùng khi người dùng gửi yêu cầu tới CA .
- Truyền dữ liệu mã hóa: Máy phục vụ và máy khách có thể kiểm tra xem
dữ liệu truyền có bị sửa đổi không. Người thứ ba không thể can thiệp vào dữ liệu
trong quá trình truyền. Việc mã hóa được thực hiện bằng hệ thống khóa thông thường.
b. Sự xuyên qua đường hầm (Tunneling)
Để các gói theo giao thức A có thể xuyên qua được các mạng với môi trường
giao thức B khác, các gói giao thức A được chèn vào trong các gói giao thức B, và các
gói A được gửi tới phía đối tác như thể chúng là các gói giao thức B. Bằng cách kết
hợp với mật mã hóa, các mạng riêng đã được xây dựng bằng cách sử dụng đường
riêng hiện có, bây giờ có thể xây dựng thành VPN (Virtual Private Network mạng
riêng ảo) với chi phí thấp sử dụng mạng công cộng như Internet, v.v
c. Tổng quan về các biện pháp bảo mật ở mức phương pháp truyền thông
Bảo mật liên quan tới phương pháp quản lý thông tin.
19
Mật khẩu
Phương pháp thực hiện việc xác thực nhận dạng riêng của phía khác theo các
chuỗi ký tự và chuỗi số được đăng ký trước. Nó được sử dụng rất rộng rãi vì đơn giản
và dễ dùng, tuy nhiên có hạn chế là dễ bị giải mã. Vì vậy đòi hỏi phải có sự quản lý và
vận hành cẩn thận, tránh mật khẩu dễ quá hoặc thay đổi mật khẩu theo định kỳ.
Phương pháp mật mã hóa và khoá
Mật mã hóa là kỹ thuật có hiệu quả để đảm bảo sự cẩn mật và ngăn chặn sự giả
mạo của bên thứ ba.Vùng áp dụng được kỹ thuật này rất rộng, từ các ứng dụng ở mức
truyền thông tới việc mật mã hóa của các tập tin người sử dụng. Phương pháp mật mã
hóa phổ biến bao gồm “phương pháp khóa chung” và “phương pháp khóa công khai”.
Phương pháp khóa chung: khoá để mật mã hóa và khoá để giải mật mã là
giống nhau, có thể dễ dàng giải quyết. Các ví dụ được biết đến nhiều là “DES” được
sử dụng như một tiêu chuẩn ở Mỹ. Tính chất của phương pháp này là thời gian mật
mã hóa nhanh. Trong khi truyền mật mã hóa, cần gửi khóa giải mật mã tới đích truyền
tương ứng với khoá mật mã hóa.
Phương pháp khóa công khai: khóa mật mã hóa và khoá giải mật mã phải
tương ứng 1: 1, nhưng vì nội dung của chúng là hoàn toàn khác nhau, nên không có
khả năng suy luận từ khóa này sang khóa khác. Phương pháp khóa công khai được
phổ biến rộng rãi là “RSA” được phát triển ở Mỹ. Với phương pháp khóa công khai,
như khóa mật mã hóa và khoá giải mật mã khác nhau, một khóa có thể mở đối với tất
cả mọi người, đó là khóa công khai, tạo điều kiện cho việc quản lý các khóa. Bằng
cách áp dụng ưu thế của sự khác biệt giữa khóa mật mã hóa và khoá giải mật mã, có
thể thực hiện được chức năng chữ ký điện tử.
3. Các biện pháp trực tiếp ngăn ngừa các hành động bất hợp pháp của
người giao dịch.
Để ngăn chặn các vấn đề nảy sinh trong giao dịch qua mạng thông tin, đòi hỏi
phải có chức năng xác thực mang lại bằng chứng là người giao dịch đã thực sự thực
hiện các giao dịch được yêu cầu. Một giải pháp được đề xuất là kỹ thuật chữ ký điện
tử với các chức năng xác thực bằng cách sử dụng mã hóa khóa công khai, v.v Bộ
phận xác nhận (CA-Certificate Authority) ngăn chặn sự mạo danh để “giả vờ” khóa
công khai là đúng và được trang bị với các chức năng đăng ký dấu và chứng nhận
dấu.
4. Dịch vụ chỉ dẫn.
Một phương pháp dẫn tới các thông tin quản lý bảo mật là sử dụng các dịch vụ
chỉ dẫn dựa trên LDAP (Light Weight Directory Access Protocol) được mô tả bởi
nhóm công tác IETF (The Internet Engineering Task Force). Nó rất hữu dụng để làm
20
tăng hiệu quả quản lý và các thao tác chứng nhận và các thông tin người sử dụng cá
nhân.
5. Các biện pháp đối phó với Virus
Cần xem xét các rủi ro xâm nhập của virus trong các trao đổi tệp qua Internet.
Khi trao đổi các tệp bằng thư điện tử và FTP trong môi trường Internet, việc truyền và
nhận các tệp đã bị nhiễm virus sẽ là nguyên nhân gây lan truyền virus. Vì vậy cần
phải chú ý rằng chỉ một lần bị nhiễm virus, thì vùng bị ảnh hưởng cũng sẽ lan ra các
máy khách. Để đối phó lại, cần kiểm tra trước khi truyền tệp và thực hiện việc kiểm
tra tại phía nhận.Sự kiểm tra/tiêu diệt virus bao gồm phương pháp kiểm tra bức tường
lửa cùng với máy phục vụ và phương pháp kiểm tra thiết bị khách của người sử dụng.
Vấn đề này luôn được giải quyết bằng phần mềm kiểm tra virus mới nhất
21
VPN
I. KHÁI NIỆM
Mạng riêng ảo hay VPN (Virtual Private Network) là một mạng dành riêng để kết
nối các máy tính lại với nhau thông qua mạng Internet công cộng. Những máy tính tham
gia mạng riêng ảo sẽ "nhìn thấy nhau" như trong một mạng nội bộ - LAN (Local Area
Network).
Internet là một môi trường công cộng, việc chia sẻ dữ liệu có tính riêng tư thông
qua Internet là cực kỳ nguy hiểm vì những dữ liệu đó có thể dễ dàng bị rò rỉ, bị ăn cắp
Mạng riêng ảo là giao thức trợ giúp việc kết nối các máy tính lại với nhau thông qua một
kênh truyền dẫn dữ liệu (tunel) riêng đã được mã hóa.
Để dễ hiểu VPN, Bạn cứ tưởng tượng như trên xa lộ có những đoạn chạy xuyên
qua một dãy núi.Ở đoạn này thông thường người ta làm một đường hầm. Khi xe bạn
(tưởng tượng như những gói dữ liệu) chạy vào đường hầm thì xe màu xanh, xe màu đỏ,
xe to, xe nhỏ, có bao nhiêu người ngồi trong xe.v.v.v. bạn đứng bên ngoài sẽ không cách
gì biết được nữa. Bởi vì cái ống hầm bê tông kiên cố này đã che chở và "giấu" tung tích
của tất cả những chiếc xe chạy qua đường hầmrồi.
Bạn có thể hiểu phương thức VPN dễ dàng là như thế.Đường xa lộ là DSL, và ống
hầm xuyên núi là phương thức bảo mật VPN. Và để bảo mật có hiệu quả, đường hầm có
"đầu vào" và "lối ra" tức là hai điểm nhà và công ty .
II. CÁCH THỨC HOẠT ĐỘNG
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng
trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp
header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian
theo những đường ống riêng( tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các
máy chạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy
chủ pahir sử dụng chung giao thức ( tunnel protocol).
22
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.Hai
điểm đầu cuối này được gọi là giao diện Tunnel, nơi nhận gói tin đi vào và đi ra trong
mạng.
Kĩ thuật Tunneling yêu cầu 3 giao thức khác nhau:
Giao thức truyền tải là giao thức được sử dụng bởi mạng có thông tin đang đi
ngang qua.
Giao thức mã hoá dữ liệu là giao thức được bọc quanh gói dữ liệu gốc.
Giao thức gói tin là giao thức dữ liệu gốc được truyền đi.
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên
internet bên trong một gói IP và gửi đó an toàn qua internet. Hoặc họ coá thể đặt một gói
tin dùng địa chỉ IP riêng bên trong một gói khác dùng địa chỉ IP chung để mở rộng một
mạng riêng trên internet.
Kĩ thuật Tunneling trong mạng VPN điểm- nối điểm.
Trong VPN loại này, giao thức mã hoá định tuyến GRE cugn cấp cơ cấu “đóng
gói” giao thức gói tin để truyền đi trên giao thức truyền tải . Nó bao gồm thông tin về loại
gói tin mà bạn đang mã hoá và thông tin về kết nối giữa máy chủ với máy khách.Nhưng
IPSec trong cơ chế tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã
hoá.IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối điểm.Tất
nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua
máy chủ truy cập, tới router( tại đây giao thức mã hoá GRE diễn ra), qua Tunnel để tới
máy tính của văn phong từ xa.
Kĩ thuật tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunnelng thường dùng giao thức điểm nối điểm PPP.Là một
phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức khác khi liên hệ trên
mạng giữa máy chủ và máy truy cập từ xa.Nói tóm lại, lỹ thuật Tunnel cho mạng VPN
truy cập từ xa phụ thuộc vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng
trong mạng VPN truy cập từ xa.
23
L2F được Ciscophats triển.L2F dùng bất lì cơ chế thẩm định quyền truy cập nào
được PPP hỗ trợ.
PPTP được tập đoàn PPTP forum phát triển. Giao thức này hỗ trợ mã hoá 40 bit và
128 bit, dùng bất cứ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ.
L2TP là sản phẩm của sự hợp tác giữa các thành viên PPTP forum, cisco và
IETF.Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP
có thể được sử dụng là giao thức Tunneling cho mạng VPN điểm nối điểm và VNP truy
cập từ xa.So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn.
Để hiểu rõ hơn về mô hình hoạt động của VPN ta có 2 mô hình dưới đây:
24
III. LỢI ÍCH CỦA VNP
Mở rộng vùng địa lý có thể kết nối được
Tăng cường bảo mật cho hệ thống mạng
Giảm chi phí vận hành so với mạng WAN truyền thống
Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa
Tăng cường năng suất
Giảm đơn giản hoá cấu trúc mạng
Cung cấp thêm một phương thức mạng toàn cầu
25
Cung cấp khả năng hỗ trợ thông tin từ xa
Cung cấp khả năng tương thích cho mạng băng thông rộng
Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống
Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:
Bảo mật (Security)
Tin cậy (Reliability)
Dễ mở rộng, nâng cấp (Scalability)
Quản trị mạng thuận tiện (Network management)
Quản trị chính sách mạng tốt (Policy management).
IV. PHÂN LOẠI MẠNG VNP
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ
bản sau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặcdi động
vào mạng nội bộ của công ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch
vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba
loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN)
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)
1. Mạng VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa.Tại mọi thời điểm,
các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng
của công ty.Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất.Bởi vì, những VPN
này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua
cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Chúng
có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử
dụng di động, những chi nhánh và những bạn hàng của công ty. Những kiểu VPN này
được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN,
quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm
client chạy trên máy tính của người sử dụng.