Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
MỤC LỤC
SVTH: Lê Trường Sơn
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP
1.1.Tổng quan.
Trước đây đất nước chúng ta trong nền kinh tế kế hoạch hóa tập trung còn lạc
hậu, không hội nhập nền kinh tế thế giới, không đàm phán với các nước khác.Tất
cả các công ty nhà nước quyết định mọi hoạt động trong nền kinh tế nước ta, trong
đó các mối quan hệ giao dịch kinh tế bị giới hạn giữa các công ty nhà nước.Vì điều
này đã làm hạn chế sự phát triển kinh tế nước ta lúc bấy giờ.
Đến năm 1989 đất nước chúng ta dần chuyển sang kinh tế thị trường và có sự
quản lý của nhà nước. Bên cạnh các công ty, xí nghiệp nhà nước đã ra đời với
nhiều loại hình hoạt động của doanh nghiệp mới, trong đó phổ biến nhất là công ty
trách nhiệm hữu hạn ( TNHH ). Được sự đãi ngộ, khuyến khích và sự hổ trợ của
nhà nước.Công ty TNHH Dae Myung Chemical VN ra đời.
Tên giao dịch : Công ty TNHH Dae Myung Chemical VN Co., Ltd
Ngày thành lập : 10/ 03/ 2005
Địa chỉ : Đường số 5, khu công nghiệp Long Thành, Tỉnh Đồng
Nai
Điện thoại : 061.3514037
Fax : 061.3514041
Webside :
Mã số thuế : 0301.948.302
Người đại diện theo pháp luật của công ty : Giám đốc Mr Park Jong Dae
Số nhân viên : 1.000 người.
Chứng nhận : ISO 9001:2008
Tin tưởng vào đường lối chính sách của Đảng, Nhà nước, Công ty TNHH
Dae Myung Chemical Việt Nam đã mạnh dạn đầu từ, sản xuất, mở rộng lĩnh vực
hoạt động kinh doanh, trải qua quá trình phát triển với bốn lần thay đổi giấy phép
đầu tư đến nay công ty đã có 3 phân xưởng sản xuất, bao gồm:

- Một trụ sở chính và một xưởng ở đường số 5, khu công nghiệp Long Thành, Tỉnh
Đồng Nai.
- Một xưởng ở đường số 7, khu công nghiệp Long Thành, Tỉnh Đồng Nai.
1.2.Lĩnh vực hoạt động.
Sản xuất các loại màng bao bì phức hợp kín khí và thoáng khí, tấm nhựa pet,
hỗn hợp tái chế do tận dụng quy trình sản suất của doanh nghiệp và các sản phẩm
liên quan khác có chất lượng cao: sản xuất màng ghép lamination, nhựa hỗn hợp
và các sản phẩm từ polyethylene.
SVTH: Lê Trường Sơn Page2
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Sản xuất vải không dệt ( Nonwoven ) và các sản phẩm từ polypropylene
( không bao gồm công đoạn nhuộm ).
SVTH: Lê Trường Sơn Page3
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
CHƯƠNG 2.PHÂN TÍCH VÀ XÂY DỰNG MÔ HÌNH MẠNG
2.1.Giới thiệu.
2.1.1.Định nghĩa VPN.
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private
network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng
rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các
mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết
nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo
được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các
nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn
bảo đảm tính an tòan và bảo mật VPN cung cấp các cơ chế mã hóa dữ liệu trên
đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel)
giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đường
ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu
gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông
qua mạng công cộng một cách nhanh chóng. Dữ lịêu được mã hóa một cách cẩn

thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể
đọc được nội dung vì không có khóa để giải mã. Liên kết với dữ liệu được mã hóa
và đóng gói được gọi là kết nối VPN.Các đường kết nối VPN thường được gọi là
đường ống VPN (VPN Tunnel).
2.1.2.Nguyên nhân hình thành SSTP.
2.1.2.1.Sự bất tiện của PPTP và L2TP.
PPTP sử dụng TCP port 1723, và đóng gói gói tin bằng phương pháp Generic
Routing Encapsulation (GRE). Với phương pháp GRE có thể nói gói tin PPTP có
cấp độ bảo mật rất thấp vì gói tin PPTP chỉ được mã hóa sau khi các thông tin quan
trọng đã được trao đổi.
Cơ chế kết nối VPN có cấp độ bảo mật tốt hơn là L2TP chạy port 1701, vì
L2TP sử dụng IPSec Encapsulating Security Payload (ESP) port 4500 và Internet
Key Exchange (IKE) port 500 để mã hóa gói tin. Nhưng nếu VPN Client kết nối
đến VPN Server bằng L2TP/IPSec thông qua NAT yêu cầu VPN Server và VPN
Client phải có hổ trợ NAT-Traversal (NAT-T)
SVTH: Lê Trường Sơn Page4
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Với hai đặc điềm trên, nếu các Firewall và thiết bị NAT tại các điểm internet
công cộng (trung tâm hội thảo, internet cafe…) chỉ cho phép các máy tính kết nối
Web (HTTP và HTTPS), hoặc khi các máy Client truy cập internet thông qua
Proxy server thì VPN Client sẽ không thể kết nối tới VPN Server thành công bằng
cơ chế PPTP và L2TP/IPSec
2.1.2.2.Sự thuận tiện của VPN-SSTP.
SSTP là cơ chế kết nối VPN bằng HTTP over Secure Socket Layer (HTTP
over SSL) port 443. Thông thường, trong một hệ thống mạng hiện nay dù là các
Firewall hay Proxy server đều cho phép truy cập HTTP và HTTPS. Vì vậy, dù ở
bất cứ đâu các máy Client đều có thể kết nối VPN bằng cơ chế SSTP và đảm bảo
bảo mật được gói tin vì áp dụng phương pháp mã hóa SSL
2.1.2.3.Một số dặc trưng của SSTP.
SSTP được tích hợp hỗ trợ NAP để bảo vệ nguồn tài nguyên mạng tốt hơn

bằng cách thi hành các chính sách về system health.SSTP thiết lập HTTP riêng lẻ
thông qua session SSL từ SSTP client đến SSTP server. Dùng HTTP thông qua
SSL Session sẽ giảm thiểu được chi phí và cân bằng tải tốt hơn SSTP không hỗ trợ
VPN Site-to-Site.
2.1.3.Các giao thức trên nền VPN
2.1.3.1.IP Security ( IPSec)
Các giao thức IPSec
Để trao đổi và thỏa thuận các thông số nhầm tạo nên một môi trường bảo
mật giữa 2 đầu cuối, IPSec dùng 3 giao thức:
• IKE (Internet Key Exchange)
• ESP (Encapsulation Security Payload)
• AH (Authentication Header)
Internet Key Exchange (IKE)
Là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số
bảo mật như: thuật toán mã hóa được áp dụng, khoảng thời gian khóa cần được
thay đổi . Sau khi thỏa thuận xong thì sẽ thiết lập “hợp đồng” giữa 2 bên, khi đó
IPSec SA (Security Association) được tạo ra.
SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số
SA này sẽ được lưu trong cơ sở dữ liệu của SA
SVTH: Lê Trường Sơn Page5
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Ngoài ra IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo
khóa: ISAKMP (Internet Security Association and Key Management Protocol) và
Oakley.
ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính
sách bảo mật SA.
Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật
toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật.
Lưu ý: Giao thức IKE dùng UDP port 500.
Encapsulating Security Payload (ESP):

Là giao thức cung cấp sự an toàn, toàn vẹn, chứng thực nguồn dữ liệu và
những tùy chọn khác, chẳng hạn anti-replay. ESP cung cấp gần như toàn bộ tính
năng của IPSec, ngoài ra nó còn cung cấp tính năng mã hóa dữ liệu. Do đó, ESP
được sử dụng phổ biến trong IPSec VPN. ESP bao gồm những tính năng sau:
• Tính bảo mật (Data confidentiality)
• Tính toàn vẹn dữ liệu (Data integrity)
• Chứng thực nguồn dữ liệu (Data origin authentication)
• Tránh trùng lặp (Anti-replay)
Những tính năng trên cũng là những tính năng đặc trưng và chính yếu nhất
của IPSec.
Lưu ý: ESP sử dụng IP protocol number 50.
Hoạt động của ESP
ESP chèn một header vào sau phần IP header và trước header của giao thức
lớp trên.Header này có thể là một IP header mới trong tunnel mode hoặc IP header
của gói tin ban đầu trong transport mode.
Authentication Header (AH):
Là giao thức cung cấp sự toàn vẹn, chứng thực nguồn dữ liệu và một số tùy
chọn khác.Nhưng khác với ESP, nó không cung cấp chức năng bảo mật (data
confidential). AH đảm bảo dữ liệu không bị thay đổi trong quá trình truyền dẫn
nhưng không mã hóa dữ liệu.
Trường AH chỉ định cái sẽ theo sau AH header. Trong transport mode, nó sẽ
là giá trị của giao thức lớp trên đang được bảo vệ (chẳng hạn UDP hoặc TCP).
Trong tunnel mode, giá trị này là 4.
SVTH: Lê Trường Sơn Page6
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Trong tunnel mode, AH đóng gói gói tin IP và thêm vào một IP header trước
AH header.
2.1.3.2.Point –to-Point Tunneling Protocol( PPTP).
PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay. Nó
làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức

đóng gói, tách gói IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này sang
máy khác.
PPTP đóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP
để truyền qua mạng IP. PPTP dùng kết nối TCP để khởi tạo và duy trì, kết thức
đường hầm và dùng một gói định tuyến chung GRE để đóng gói các khung PPP.
Phần tải của khung PPP có thể được mã hoá và nén lại.
PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kết thức kết nối
vật lý, xác định người dùng, và tạo các gói dữ liệu PPP.
PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của
mạng.PPTP khách có thể được đấu nối trực tiếp tới máy chủ thông qua truy nhập
mạng NAS để thiết lập kết nối IP.Khi kết nối được thực hiện có nghĩa là người
dùng đã được xác nhận.Đó là giai đoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn
được cung cấp bởi ISP.Việc xác thực trong quá trình thiết lập kết nối dựa trên
PPTP sử dụng các cơ chế xác thực của kết nối PPP. Một số cơ chế xác thực được
sử dụng là:
• Giao thức xác thực mở rộng EAP.
• Giao thức xác thực có thử thách bắt tay CHAP.
• Giao thức xác định mật khẩu PAP.
2.1.3.3.Layer 2 Tunneling Protocol ( L2TP).
IETF đã kết hợp hai giao thức PPTP và L2F và phát triển thành L2TP.Nó kết
hợp những đặc điểm tốt nhất của PPTP và L2F.Vì vậy, L2TP cung cấp tính linh
động, có thể thay đổi, và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F và
khả năng kết nối điểm điểm nhanh của PPTP.
Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm:
• L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP.
SVTH: Lê Trường Sơn Page7
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
• L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như điều khiển và
hệ điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng Intranet cũng không cần
triển khai thêm các phần mềm chuyên biệt.

• L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công
cộng với một địa chỉ IP chưa đăng ký (hoặc riêng tư).
2.1.3.4.Secure Socket Tunneling Protocol ( SSTP ).
SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự bảo mật
thông tin và dữ liệu.SSL cũng cung cấp cơ chế xác thực các điểm cuối khi đuợc
yêu cầu sử dụng PKI.SSTP sử dụng SSL để xác thực server với client và nó dựa
vào PPP chạy trên để xác thực client với server.Nghĩa là Client xác thực server
bằng certificate và Server xác thực Client thông qua giao thức hiện có được hỗ trợ
bởi PPP.
Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm
thao tác tạo lập đường hầm,SSTP thiết lập session HTTPs với server từ xa tại port
443 ở một địa chỉ URL riêng biệt.Các xác lập proxy HTTP được cấu hình thông
qua IE sẽ được sử dụng để thiết lập kết nối này.
Với session HTTPs, Client đòi hỏi server cung cấp certificate để xác thực.Khi
thiết lập quan hệ SSL hòan tất, các session HTTP được thiếtt lập trên đó.Sau đó,
SSTP được sử dụng để thương lượng các tham số giữa Client và Server.Khi lớp
SSTP được thíêt lập,việc thương lượng SSTP được bắt đầu nhằm cung cấp cơ chế
xác thực client với server và tạo đường hầm cho dữ liệu.
2.1.4.Các loại VPN trong thực tiễn.
2.1.4.1.Remote Access VPNs.
Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ
lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi
nhánh kết nối đến tài nguyên mạng của tổ chức. Ðặc biệt là những người dùng
thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối
thường xuyên đến mạng Intranet hợp tác.
Các truy cập VPN thường yêu cầu một vài kiểu phần mềm client chạy trên
máy tính của người sử dụng.Kiểu VPN này thường được gọi là VPN truy cập từ
xa.
Một số thành phần chính :
SVTH: Lê Trường Sơn Page8

Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận
và chứng nhận các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu
cầu ở khá xa so với trung tâm.
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ
trợ truy cập từ xa bởi người dùng.
Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các
chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ
ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet
Thuận lợi chính của Remote Access VPNs :
• Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
• Sự cần thiết hỗ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đã
được tạo điều kiện thuận lợi bời ISP
• Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối
với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
• Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
• Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với
kết nối trực tiếp đến những khoảng cách xa.
• VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ
truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng
thời đến mạng.
Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như :
• Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ.
• Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể
đi ra ngoài và bị thất thoát.
• Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này
gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP-
based diễn ra vô cùng chậm chạp và tồi tệ.
• Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các

gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
2.1.4.2.VPN Site –to-Site
- Intranet VPNs:
Intranet VPNs được sử dụng để kết nối đến các chi nhánh văn phòng của tổ
chức đến Corporate Intranet (backbone router) sử dụng campus router. Theo mô
hình này sẽ rất tốn chi phí do phải sử dụng 2 router để thiết lập được mạng, thêm
SVTH: Lê Trường Sơn Page9
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém
còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn
bộ mạng Intranet.
Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi
các kết nối Internet với chi phí thấp, điều này có thể giảm một lượng chi phí đáng
kể của việc triển khai mạng Intranet.
Intranet VPNs là một VPN nội bộ đươc sử dụng để bảo mật các kết nối giữa
các địa điểm khác nhau của một công ty.Điều này cho phép tất cả các địa điểm có
thể truy cập các nguồn dữ liệu được phép trong toàn bộ mạng của công ty. Các
VPN nội bộ liên kết trụ sở chính, các văn phòng, và các văn phòng chi nhánh trên
một cơ sở hạ tầng chung sử dụng các kết nối mà luôn luôn được mã hoá. Kiểu
VPN này thường được cấu hình như là một VPN Site-to-Site.
Những thuận lợi chính của Intranet setup dựa trên VPN:
 Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình WAN
backbone
 Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các
trạm ở một số remote site khác nhau.
 Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những
kết nối mới ngang hàng.
 Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại
bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc
thực hiện Intranet.

 Những bất lợi chính kết hợp với cách giải quyết :
 Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công cộng-
Internet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-
service), vẫn còn là một mối đe doạ an toàn thông tin.
 Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao.
 Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin
mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua
Internet.
 Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và
QoS cũng không được đảm bảo.
- Extraner VPNs:
SVTH: Lê Trường Sơn Page10
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
 Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn
cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên
mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung
cấp, đối tác những người giữ vai trò quan trọng trong tổ chức.
 Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp
lại với nhau để tạo ra một Extranet. Ðiều này làm cho khó triển khai và quản lý do
có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và
quản trị. Thêm nữa là mạng Extranet sẽ khó mở rộng do điều này sẽ làm rối tung
toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có
những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng
Extranet. Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của
các nhà thiết kế và quản trị mạng.
 Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà
cung cấp, và các đối tác qua một cơ sở hạ tầng công cộng sử dụng các kết nối mà
luôn luôn được bảo mật. Kiểu VPN này thường được cấu hình như là một VPN
Site-to-Site. Sự khác nhau giữa một VPN nội bộ và một VPN mở rộng đó là sự
truy cập mạng mà được công nhận ở một trong hai đầu cuối của VPN. Hình dưới

đây minh hoạ một VPN mở rộng.
 Một số thuận lợi của Extranet :
 Do hoạt động trên môi trường Internet, chúng ta có thể lựa chọn nhà phân phối khi
lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.
 Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên
cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.
 Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.
 Một số bất lợi của Extranet :
 Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
 Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
 Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn
ra chậm chạp.
 Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên.
2.2.Phân tích gói tin và nguyên lý hoạt động
2.2.1.Cú pháp các thông điệp.
2.2.1.1.Gói tin SSTP
Sơ đồ dưới đây trình bày định dạng của gói tin SSTP mà được gửi trên kết
nối HTTPS.
SVTH: Lê Trường Sơn Page11
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Các trường của tiêu đề cần được truyền trong thứ tự byte từ trái sang phải
Phiên bản (1 byte): Trường 8 bit (1 byte) này được sử dụng để giao tiếp và
đàm phán phiên bản của SSTP mà nó sử dụng. 4 bits phía trên là phiên bản chính,
loại này phải là 0x1, 4 bit ở dưới là phiên bản phụ, loại này được thiết lập là 0x0.
Điều đó có nghĩa rằng giá trị 8 bit của trường phiên bản cần là 0x10 và phù hợp
đến phiên bản 1.0.
Dành riêng (7 bits): Trường 7 bits này dành cho sử dụng tương lai. Cần phải
thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
C (1 bit): Trường 1 bit đó được sử dụng đề cho biết gói tin là gói điều khiển
SSTP hay gói dữ liệu SSTP hay không ( Gói dữ liệu được sử dụng cho việc gởi

một lớp trọng tải cao). Giá trị là 1 nếu nó là gói điều khiển và 0 nếu nó là gói dữ
liệu.
Chiều dài gói tin (2 bytes): Một số nguyên 16 bit chưa được ấn định trong
thứ tự byte mạng mà gói dữ liệu cho hai trường, đã được cấu hình trong định dạng
dưới đây.
R (4 bits): Trường 4 bits này dành cho sử dụng tương lai. Cần phải thiết lập
thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Chiều dài (12 bits): Một số nguyên 12 bit chưa được ấn định trong thứ tự
byte mạng mà cần phải chỉ rõ chiều dài, trong bytes, của toàn bộ gói tin SSTP, bao
gồm 4 byte tiêu đề SSTP. (đó là phiên bản, trường dành riêng 7 bit, trường C 1 bit ,
trường R 4 bit, và trường chiều dài 12 bit).
Dữ liệu (biến): Trường chiều dài hợp lệ. Chiều dải của trường này là bằng
với giá trị của trường chiều dài, trừ 4.Trường này chứa một trong thông điệp điều
khền SSTP khi trường C bằng 1hay trọng tải từ một giao thức lớp cao khi trường C
bằng 0.Gói dữ liệu SSTP chứa đựng khung PPP như một trọng tải.
SVTH: Lê Trường Sơn Page12
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
2.2.1.2.Gói tin điều khiển SSTP.
Gói tin điều khiển SSTP là một loại của gói tin SSTP mà được sử dụng bởi cả
hai máy khách và máy chủ để gởi thông điệp điều khiển tới mọi thứ khác. Sơ đồ
dưới đây quy định cách định dạng mà được sử dụng cho thông điệp điều khiển
SSTP. Bởi vì thông điệp này là một loại của gói tin SSTP, theo định dạng của gói
tin SSTP.
Các trường của cấu trúc cần phải bị truyền trong thứ tự byte mạng tử trái
sang phải.
Phiên bản(1 byte): Trường 8 bit (1 byte) này được sử dụng để giao tiếp và
đàm phán phiên bản của SSTP mà nó sử dụng. 4 bits phía trên là phiên bản chính,
loại này phải là 0x1, 4 bit ở dưới là phiên bản phụ, loại này được thiết lập là 0x0.
Điều đó có nghĩa rằng giá trị 8 bit của trường phiên bản cần là 0x10 và phù hợp
đến phiên bản 1.0.

Dành riêng (7 bits): Trường 7 bits này dành cho sử dụng tương lai. Cần phải
thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
C (1 bit): Trường 1 bit đó được sử dụng đề cho biết gói tin là gói điều khiển
SSTP hay gói dữ liệu SSTP hay không. Giá trị là 1 nếu nó là gói điều khiển .
Chiều dài gói tin (2 bytes): Một số nguyên 16 bit chưa được ấn định trong
thứ tự byte mạng mà gói dữ liệu cho hai trường, đã được cấu hình trong định dạng
dưới đây.
R (4 bits): Trường 4 bits này dành cho sử dụng tương lai. Cần phải thiết lập
thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Chiều dài (12 bits): Một số nguyên 12 bit chưa được ấn định trong thứ tự
byte mạng mà cần phải chỉ rõ chiều dài, trong bytes, của toàn bộ gói tin SSTP, bao
SVTH: Lê Trường Sơn Page13
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
gồm 4 byte tiêu đề SSTP. (đó là phiên bản, trường dành riêng 7 bit, trường C 1 bit ,
trường R 4 bit, và trường chiều dài 12 bit).
Loại thông điệp ( 2 bytes): một trường 16 bit trong thứ tự byte mạng mà chỉ
rõ loại của thông điệp. Nó cần là một trong những giá trị dưới đây.
Số thuộc tính (2bytes): Một trường 16 bit trong thứ tự byte mạng mà chỉ rõ
số lượng của thuộc tính trong thông điệp.
Thuộc tính 1: Cần phải chứa thuộc tính đầu tiên
Thuộc tính 2: Cần phải chứa thuộc tính thứ hai.
Thuộc tính thứ N: Một danh sách thứ tự của thuộc tính có kích thước thay
đổi mà soạn như một thông điệp điều khiển SSTP.
2.2.1.3.Gói Tin dữ liệu SSTP.
Gói tin dữ liệu SSTP là một loại của gói SSTP mà đựợc sử dụng bởi
cả hai SSTP khách và SSTP chủ để gởi một lớp trọng tải cao hơn (đó là một khung
PPP) đến mọi cái khác. Sơ đồ dưới đây chỉ rõ định dạng mà cần được sử dụng cho
gói tin dữ liệu SSTP.
Những trường của cấu trúc cần phải được truyền như các bytes từ trái sang
phải.

Phiên bản(1 byte): Trường 8 bit (1 byte) này được sử dụng để giao tiếp và
đàm phán phiên bản của SSTP mà nó sử dụng. 4 bits phía trên là phiên bản chính,
loại này phải là 0x1, 4 bit ở dưới là phiên bản phụ, loại này được thiết lập là 0x0.
SVTH: Lê Trường Sơn Page14
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Điều đó có nghĩa rằng giá trị 8 bit của trường phiên bản cần là 0x10 và phù hợp
đến phiên bản 1.0.
Dành riêng (7 bits): Trường 7 bits này dành cho sử dụng tương lai. Cần phải
thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
C (1 bit): Trường 1 bit đó được sử dụng đề cho biết gói tin là gói điều khiển
SSTP hay gói dữ liệu SSTP hay không. Giá trị cần phải thiết lập thành 0 để cho
biết gói dữ liệu đó mang lớp trọng tải cao hơn.
Chiều dài gói tin (2 bytes): Một số nguyên 16 bit chưa được ấn định trong
thứ tự byte mạng mà gói dữ liệu cho hai trường, đã được cấu hình trong định dạng
dưới đây.
R (4 bits): Trường 4 bits này dành cho sử dụng tương lai. Cần phải thiết lập
thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Chiều dài (12 bits): Một số nguyên 12 bit chưa được ấn định trong thứ tự
byte mạng mà cần phải chỉ rõ chiều dài, trong bytes, của toàn bộ gói tin SSTP, bao
gồm 4 byte tiêu đề SSTP. (đó là phiên bản, trường dành riêng 7 bit, trường C 1 bit ,
trường R 4 bit, và trường chiều dài 12 bit).
Dữ liệu (biến): Trường chiều dài hợp lệ mà chứa lớp trọng tải cao hơn. Gói
dữ liệu SSTP chăm lo việc đóng gói khung giao thức như trọng tải. Giao thức đóng
gói trong trường dữ liệu được xác định từ trước đó nhận được thuộc tính nhận
dạng giao thức đóng gói. SSTP hiện tại chỉ hỗ trợ PPP như là giao thức đóng
gói.Chiều dài của trường này bằng với giá trị của trường chiều dài, trừ đi 4.
2.2.1.4.Thuộc tính SSTP.
Sơ đồ dưới đây chỉ rõ định dạng mà cần được sử dụng cho tất cả các
thuộc tính SSTP.
Các trường của cấu trúc cần phải bị truyền trong thứ tự byte mạng tử trái

sang phải.
SVTH: Lê Trường Sơn Page15
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Dành riêng (1 byte): Trường 8 bits này dành cho sử dụng tương lai. Cần
phải thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Nhận dạng thuộc tính (1 byte): Một trường 8 bit (1 byte) cần được sử dụng
để chỉ rõ loại của thuộc tính, Giá trị của nó phải là một trong những giá trị dưới
đây.
Chiều dài gói tin (2 bytes): Một số nguyên 16 bit chưa được ấn định trong
thứ tự byte mạng mà gói dữ liệu cho hai trường, đã được cấu hình trong định dạng
dưới đây.
R (4 bits): Trường 4 bits này dành cho sử dụng tương lai. Cần phải thiết lập
thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Chiều dài (12 bits): Một số nguyên 12 bit chưa được ấn định trong thứ tự
byte mạng mà cần phải chỉ rõ chiều dài, trong bytes, của toàn bộ gói tin SSTP, bao
gồm 4 byte tiêu đề SSTP. (đó là, trường dành riêng, 1 byte, trường nhận dạng
thuộc tính 1 byte, trường R 4 but, trường chiều dài 12 bit).
Giá trị ( biến số): trường chiều dài hợp lệ chiều dài bằng với chiều dài của
trường trừ 4 mà chứa dữ liệu thuộc tính cụ thể.
2.2.1.4.1 Thuộc tính nhận dạng giao thức đóng gói
Sơ đồ dưới đây quy định cụ thể các định dạng mà cần được sử dụng trong
thuộc tính nhận dạng giao thức đóng gói.Thuộc tính này được sử dụng để đàm
phán giao thức lớp cao hơn mà được hỗ trợ bởi bởi máy khách và máy chủ.
Máy khách đề xuất một danh sách lớp cao hơn mà nó muốn gửi trên kết nối
SSTP.Nếu máy chủ hỗ trợ những giao thức mà được chỉ rõ bởi máy khách, thì một
phản ứng thừa nhận sự phủ định không được gửi.Nếu không, máy chủ gửi một sự
trả lời NACK với danh sách của các giao thức mà nó không hỗ trợ.
SVTH: Lê Trường Sơn Page16
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Các trường của cấu trúc cần phải bị truyền trong thứ tự byte mạng tử trái

sang phải.
Dành riêng (1 byte): Trường 8 bits này dành cho sử dụng tương lai. Cần
phải thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Nhận dạng thuộc tính (1 byte): Một trường 8 bit (1 byte) cần được sử dụng
để chỉ rõ loại của thuộc tính, Giá trị của nò phải là 0x01 cho thuộc tính nhận dạng
giao thức đóng gói.
Chiều dài gói tin (2 bytes): Một số nguyên 16 bit chưa được ấn định trong
thứ tự byte mạng mà gói dữ liệu cho hai trường, đã được cấu hình trong định dạng
dưới đây.
R (4 bits): Trường 4 bits này dành cho sử dụng tương lai. Cần phải thiết lập
thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Chiều dài (12 bits): Một số nguyên 12 bit chưa được ấn định trong thứ tự
byte mạng mà cần phải chỉ rõ chiều dài của thuộc tính nhận dạng giao thức đóng
gói. Trường này cần phải thiết lập thành 0x006.
Nhận dạng giao thức (2 bytes): trường 2 byte trong thứ tự mạng byte mà
chứa những giá trị dưới đây. Chú ý rằng phiên bản 1 hiện tại chỉ hỗ trợ cho những
khung PPP.
SVTH: Lê Trường Sơn Page17
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
2.2.1.4.2.Thuộc tính yêu cầu ràng buộc mã hoá
Sơ đồ dưới đây quy định cụ thể các định dạng mà cần được sử dụng cho
thuộc tính yêu cầu ràng buộc mã hoá. Thuộc tính này được sử dụng bởi máy chủ
trao đổi phương pháp này hỗ trợ băm và thời điểm này đến máy khách SSTP.
Các trường của cấu trúc cần phải bị truyền trong thứ tự byte mạng tử trái
sang phải.
Dành riêng (1 byte): Trường nàyđược dành riêng cho sử dụng tương lai. Cần
phải thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Nhận dạng thuộc tính (1 byte): Một trường 8 bit (1 byte) cần được sử dụng
để chỉ rõ loại của thuộc tính, Giá trị của nò phải là 0x04 cho thuộc tính yêu cầu
ràng buộc mã hoá.

SVTH: Lê Trường Sơn Page18
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Chiều dài gói tin (2 bytes): Một số nguyên 16 bit chưa được ấn định trong
thứ tự byte mạng mà gói dữ liệu cho hai trường, đã được cấu hình trong định dạng
dưới đây.
R (4 bits): Trường 4 bits này dành cho sử dụng tương lai. Cần phải thiết lập
thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Chiều dài (12 bits): Một số nguyên 12 bit chưa được ấn định trong thứ tự
byte mạng mà cần phải chỉ rõ chiều dài của thuộc tính yêu cầu ràng buộc mã hoá .
Giá trị này cần phải là 40 ( đó là, 0x028).
Dành riêng 1 (3bytes): Trường 24 bits này dành cho sử dụng tương lai. Cần
phải thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Giao thức băm Bitmask (1bytes): Trường 1 byte bitmask được sử dụng (với
trạng thái hỗ trợ giao thức băm server) để xác định phương pháp băm được cho
phép bởi máy chủ mà máy khách sử dụng cho việc tính toán MAC phức tạp trong
thuộc tính ràng buộc mã hoá. Các bits dưới đây đã được định nghĩa.
Nonce (32 bytes): Một số nguyên 256 bit chưa được ấn định đó chứa 1 giá trị
thời gian duy nhất
2.2.1.4.3.Thuộc tính ràng buộc mã hoá
Sơ đồ dưới đây quy định cụ thể các định dạng mà cần được sử
dụng cho thuộc tính ràng buộc mã hoá. Thuộc tính này được gởi bởi SSTP client
đến SSTP server và được sử dụng để chắc rằng SSTP client và SSTP server tham
gia vào sự thượng lượng SSL và xác thực lớp cao. (đó là, xác thực PPP).
Chú ý: Không có thuộc tính ràng buộc mã hoá, một người ở giữa không tin
cậy có thể chuyển tiếp gói tin PPP mà được nhận bởi client trên giao thức khác ( ví
SVTH: Lê Trường Sơn Page19
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
dụ: trên vô tuyến) trên kết nối SSTP mà không cần sự hiểu biết của SSTP client và
SSTP server.
Các trường của cấu trúc cần phải bị truyền trong thứ tự byte mạng tử trái

sang phải.
Dành riêng (1 byte): Trường 8 bit này được dành riêng cho sử dụng tương
lai. Cần phải thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Nhận dạng thuộc tính (1 byte): Một trường 8 bit (1 byte) cần được sử dụng
để chỉ rõ loại của thuộc tính, Giá trị của nò cần phải là 0x03 cho thuộc tính ràng
buộc mã hoá.
SVTH: Lê Trường Sơn Page20
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Chiều dài gói tin (2 bytes): Một số nguyên 16 bit chưa được ấn định trong
thứ tự byte mạng mà gói dữ liệu cho hai trường, đã được cấu hình trong định
dạng dưới đây.
R (4 bits): Trường 4 bits này dành cho sử dụng tương lai. Cần phải thiết lập
thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Chiều dài (12 bits): Một số nguyên 12 bit chưa được ấn định trong thứ tự
byte mạng mà cần phải chỉ rõ chiều dài của thuộc tính ràng buộc mã hoá . Giá trị
này cần phải là 104 ( đó là, 0x068).
Dành riêng 1 (3bytes): Trường 24 bits này dành cho sử dụng tương lai. Cần
phải thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Giao thức băm (1bytes): Trường 1 byte đó chỉ rõ loại chứng nhận băm và
thuật toán băm mà được sử dụng cho sự tính toán MAC kép. Giá trị của nó là một
trong dưới đây.
Nonce (32 bytes): Một số nguyên 256 bit chưa được ấn định đó chứa 1 giá trị
thời gian duy nhất ( hay ngẫu nhiên). Giá trị này giống như những gì đã nhận được
từ SSTP server trong thuộc tính yêu cầu ràng buộc mãhoá.
Chứng nhận băm (biến): Một trường có chiều dài hợp lệ trong thứ tự mạng
byte mà chứa một trong băm SHA1 hay băm SHA256 của sự chứng nhận server.
Thuật toán băm được sử dụng để quy định trường bởi trường giao thức băm trong
thông điệp. Chứng nhận server là một chứng nhận X.509 như mô tả trong
RFC5280; Nó có sẵn như là một phần của bắt tay SSL/TLS. Bắy tay SSL/TLS xảy
ra trong suốt thiết lập HTTPS. Chiều dài của trường này là 20 bytes khi SHA1

được sử dụng hay 32 bytes khi SHA256 được sử dụng.
SVTH: Lê Trường Sơn Page21
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Vật đệm (biến): Trường này được dành riêng cho sử dụng tương lai. Cần
phải thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận. Trường
này một trong chiều dài 0 bytes khi chứng nhận băm SHA256 được sử dụng hay
chiều dài 12 bytes khi chứng nhận băm SHA1 được sử dụng.
MAC kép (biến): Một số nguyên có chiếu dài thay đổi chưa được ấn định đó
chứa giá trị mà được sử dụng để kết hợp mật mã xác thực lớp cao ( đó là xác thực
PPP) với kết nối https lớp thấp và vì vậy chắc rằng SSTP client và SSTP server
tham gia vào cả hai trong số họ.trường này là một trong chiều dài 20 bytes khi giao
thức băm SHA1 được sử dụng cho việc tính toán MAC kép, hay chiều dài 32 bytes
khi giao thức băm SHA256 được sử dụng cho việc tính toán MAC kép.
Vật đệm 1(biến): Một trường có chiều dài thay đổi mà được dành riêng cho
sử dụng tương lai. Cần phải thiết lập thành 0 khi gởi và cần phải được bỏ qua trên
sự tiếp nhận. Trường này một trong chiều dài 0 bytes khi chứng nhận băm
SHA256 được sử dụng hay chiều dài 12 bytes khi chứng nhận băm SHA1 được sử
dụng.
2.2.1.5.Thông điệp yêu cầu kết nối cuộc gọi.
(SSTP_MSG_CALL_CONNECT_REQUEST)
Sơ đồ dưới đây quy định cụ thể các định dạng mà cần được sử dụng
cho thông điệp yêu cầu kết nối cuộc gọi.thông điệp này cần phải là thông điệp đầu
tiên mà được gởi bời SSTP client sau khi nó thiết lập một kết nối HTTPS với
server. Các Client sử dụng thông điệp để yêu cầu thiết lập một kết nối SSTP với
Server. Chú ý rằng thông đỉệp này theo định dạng của một gói điều khiển SSTP
Các trường của cấu trúc cần phải bị truyền trong thứ tự byte mạng tử trái
sang phải.
Phiên bản(1 byte): Trường 8 bit (1 byte) này được sử dụng để giao tiếp và
đàm phán phiên bản của SSTP mà nó sử dụng. 4 bits phía trên là phiên bản chính,
loại này phải là 0x1, 4 bit ở dưới là phiên bản phụ, loại này được thiết lập là 0x0.

SVTH: Lê Trường Sơn Page22
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Điều đó có nghĩa rằng giá trị 8 bit của trường phiên bản cần là 0x10 và phù hợp
đến phiên bản 1.0.
Dành riêng (7 bits): Trường 7 bits này dành cho sử dụng tương lai. Cần phải
thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
C (1 bit): Trường 1 bit đó được sử dụng đề cho biết cái nào là gói tin điều
khiển SSTP hay gói dữ liệu SSTP .Giá trị cần phải thiết lập thành 1 cho thông điệp
yêu cầu kết nối cuộc gọi đó là gói điều khiền.
Chiều dài gói tin (2 bytes): Một số nguyên 16 bit chưa được ấn định trong
thứ tự byte mạng mà gói dữ liệu cho hai trường, đã được cấu hình trong định dạng
dưới đây.
R (4 bits): Trường 4 bits này dành cho sử dụng tương lai. Cần phải thiết lập
thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Chiều dài (12 bits): Một số nguyên 12 bit chưa được ấn định trong thứ tự
byte mạng mà cần phải chỉ rõ chiều dài, trong bytes, của toàn bộ thông điệp yêu
cầu kết nối cuộc gọi.
Loại thông điệp( 2 bytes): là một trường 16 bit trong thứ tự byte mạng mà
chỉ rõ loaik của thông điệp. nó cần phải là 0x0001.
(SSTP_MSG_CALL_CONNECT_REQUEST).
Số thuộc tính (2bytes): Một trường 16 bit trong thứ tự byte mạng mà chỉ rõ
loại của thông điệp, giá trị của nó cần phài là 0x0001 bởi vì phiên bản 1 SSTP chỉ
hỗ trợ thuộc tính nhận dạng giao thức đóng gói bằng cách sử dụng một giá trị
nhận dạng giao thức của PPP.
Dành riêng (1 byte): Trường 8 bit này được dành riêng cho sử dụng tương
lai. Cần phải thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Nhận dạng thuộc tính (1 byte): Một trường 8 bit (1 byte) cần được sử dụng
để chỉ rõ loại của thuộc tính, Giá trị của nò cần phải là 0x2 cho thuộc tính thông
tin trạng thái.
Chiều dài gói tin 1 (2 bytes): Một số nguyên 16 bit chưa được ấn định trong

thứ tự byte mạng mà gói dữ liệu cho hai trường, đã được cấu hình trong định dạng
dưới đây.
SVTH: Lê Trường Sơn Page23
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
R (4 bits): Trường 4 bits này dành cho sử dụng tương lai. Cần phải thiết lập
thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận.
Chiều dài (12 bits): Một số nguyên 12 bit chưa được ấn định trong thứ tự
byte mạng mà chứa giá trị 0x006 cho chiều dài thuộc tính nhận dạng giao thức
đóng gói.
Nhận dạng giao thức (2 bytes): Trường 2 bytes trong thứ tự mạng byte mà
chứa giá trị 0x0001 ( đó là, SSTP_ENCAPSULATED_PROTOCAL_PPP). Chú ý
rằng phiên bản 1 SSTP chỉ hỗ trợ vận chuyển của khung PPP.
2.2.2.Chi tiết giao thức
Các dưới đây chỉ rõ chi tiết của giao thức đường hầm socket bảo mật bao
gồm máy khách, máy chủ, và các mô hình dữ liệu phổ biến trừu tượng, cũng như
các quy tắc xử lý thông điệp.
2.2.2.1.Các chi tiết chung giữa SSTP client và SSTP server
- Mô hình dữ liệu trừu tượng
Cả hai máy khách và máy chủ SSTP duy trì trạng thái hiện tại cho mỗi kết
nối SSTP. Giá trị hiện tại liên quan đến cuộc tiến trình ngắt cuộc gọi và huỷ bỏ
cuộc gọi. Đó là phổ biến cho máy khách và máy chủ SSSTP như sau:
• Call_Abort_In_Progress_1
• Call_Abort_In_Progress_2
• Call_Abort_Timeout_Pending
• Call_Abort_Pending
• Call_Disconnect_In_Progress_1
• Call_Disconnect_In_Progress_2
• Call_Disconnect_Timeout_Pending
• Call_Disconnect_Ack_Pending
- Trạng thái máy

Đoạn này mô tả trạng thái máy mà áp đặt đến cả hai client và server cho các
giai đoạn ngắt cuộc gọi và hủy cuộc gọi. Trạng thái máy cho việc thiết lập cuộc
gọi là khác nhau cho máy khách và máy chủ server.
- Ngắt cụộc gọi
Hình dưới đây trình bày trạng thái máy khi kết nối SSTP đã bị ngắt kết nối.
SVTH: Lê Trường Sơn Page24
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên
Hinh2: Chi tiết chung cho ngắt kết nối cuộc gọi
Để ngắt một kết nối SSTP, Trạng thái các máy SSTP khách và chủ có các
trạng thái dưới đây.
Tên trạng thái Mô tả
Call_Disconnect_In_Progress_1 Đây là trạng thái khi một sự kiện đường
hầm SSTP ngắt kết nối được nhận các lớp
cao hơn. Trong trạng thái này,
Thông điệp
SSTP_MSG_CALL_DISCONNECT được
gửi đến SSTP tận cuối,
và trạng thái hiện tại được thay đổi đến
Call_Disconnect_Ack_Pending:
Call_Disconnect_In_Progress_2 Đây là trạng thái khi thông điệp
SSTP_MSG_CALL_DISCONNECT.
Được nhận từ SSTP cuối cùng. Trong
trạng thái này,
SSTP_MSG_CALL_DISCONNECT_AC
K được gửi đến SSTP cuối cùng, và trạng
thái hiện tại được thay đổi đến
SVTH: Lê Trường Sơn Page25