1
LOGO
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
KHOA VIỄN THÔNG I
Sinh viên thực hiện:
Sinh viên thực hiện:
Nguyễn Đức Cường
Nguyễn Đức Cường
Giáo viên hướng dẫn:
Giáo viên hướng dẫn:
ThS. Nguyễn Thị Thu Hằng
ThS. Nguyễn Thị Thu Hằng
Đồ án:
Đồ án:
CÔNG NGHỆ IP-VPN
CÔNG NGHỆ IP-VPN
27/11/2005
2
NỘI DUNG BÁO CÁO
NỘI DUNG BÁO CÁO
Bộ giao thức TCP/IP
Công nghệ mạng riêng ảo trên Internet
Giao thức IPSec cho IP-VPN
An toàn dữ liệu trong IP-VPN
Thực hiện IP-VPN
Kết luận
3
BỘ GIAO THỨC TCP/IP
4
Khái niệm: Mạng riêng ảo trên nền Internet là mô phỏng
các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng
mạng Internet công cộng chung không đảm bảo an ninh.
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
5
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
Điều khiển truy nhập
Nhận thực
An ninh
Truyền Tunnel
Thỏa thuận mức dịch vụ
Các khối chức năng cơ bản:
Các khối chức năng cơ bản:
6
Phân loại mạng riêng ảo theo kiến trúc
VPN truy nhập từ xa
Intranet VPN
Extranet VPN
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
7
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
Giao thức đường ngầm
PPTP
L2TP
L2F
IPSEC
Sơ đồ đóng gói PPTP
Sơ đồ đóng gói L2TP
8
GIAO THỨC IPSEC CHO IP-VPN
Đóng gói thông tin của IPSec
Giao thức tiêu đề xác thức AH
Giao thức đóng gói an toàn tải tin ESP
Kết hợp an ninh SA
Giao thức trao đổi khóa IKE
Các giao thức đang tồn tại ứng dụng cho IPSec
9
GIAO THỨC IPSEC CHO IP-VPN
Giao thức tiêu đề xác thực AH
10
GIAO THỨC IPSEC CHO IP-VPN
Giao thức đóng gói an toàn tải tin ESP
11
GIAO THỨC IPSEC CHO IP-VPN
Liên kết an ninh SA
Là dịch vụ bảo mật quan hệ giữa hai hay nhiều
thực thể để thỏa thuận truyền thông an toàn.
Là một kết nối đơn công.
Được xác định bởi ba tham số SPI, địa chỉ IP đích,
giao thức an toàn (AH hayESP).
Là cơ sở dữ liệu để tham chiếu các dịch vụ an toàn
được cung cấp khi thực hiện đóng gói thông tin
12
GIAO THỨC IPSEC CHO IP-VPN
Giao thức trao đổi khóa IKE
IKE pha 1
IKE pha 1
IKE pha 2
IKE pha 2
Chức năng:
Thỏa thuận các thông số an ninh và các tập chuyển đổi
Thiết lập các kết hợp an ninh IPSec
Định kỳ thỏa thuận lại IPSec SA
Thực hiện một trao đổi Diffie-Hellman bổ sung để tạo
ra SA và khóa mới
Mục đích:
Thương lượng và thiết lập chính sách ninh
13
GIAO THỨC IPSEC CHO IP-VPN
Giao thức trao đổi khóa IKE
IKE pha 1
IKE pha 1
IKE pha 2
IKE pha 2
Chức năng:
Thỏa thuận các thông số an ninh và các tập chuyển đổi
Thiết lập các kết hợp an ninh IPSec
Định kỳ thỏa thuận lại IPSec SA
Thực hiện một trao đổi Diffie-Hellman bổ sung để tạo
ra SA và khóa mới
Mục đích:
Thương lượng và thiết lập chính sách ninh
14
GIAO THỨC IPSEC CHO IP-VPN
Ví dụ về đóng gói dữ liệu sử dụng ESP
Gói tin
Tìm kiếm
SA
Mật mã
dữ liệu
Gói tin
Tạo tiêu đề và đóng gói
dữ liệu vào tiêu đề mới
Gói tin
Tìm kiếm
SA
Tách tiêu đề và kiểm tra
tiính toàn vẹn gói tin,…
Giải mã
dữ liệu
Gói tinGói tin
Gói tin
Gói tin
Gói tin
Gói tin ban đầu
Gói tin sau mật mã
Gói tin truyền trên mạng công cộng
15
GIAO THỨC IPSEC CHO IP-VPN
Các giao thức đang được ứng dụng cho xử lý IPSec
Mật mã bản tin
Toàn vẹn dữ liệu
Nhận thực các bên
Quản lý khóa
Tiêu chuẩn mật mã dữ
liệu DES
Tiêu chuẩn mật mã dữ
liệu gấp ba 3DES
Mã nhận thực bản tin
băm HMAC
Thuật toán MD5
Thuật toán băm an
toàn SHA
Khóa chia sẽ trước
Chữ ký số RSA
RSA mật mã nonces
Giao thức Diffie-
Hellman
Quyền chứng nhận CA
16
AN TOÀN DỮ LIỆU TRONG IP-VPN
Mật mã
Khái niêm
Hệ thống mật mã khóa đối xứng
Hệ thống mật mã khóa công khai
Xác thực
Xác thực tính toàn vẹn dữ liệu
Xác thực nguồn gốc dữ liệu
17
Cipher
AN TOÀN DỮ LIỆU TRONG IP-VPN
Mật mã
Khái niệm
Mật mã
E
K
(P)=C
Mật mã
E
K
(P)=C
Plaintext Ciphertext
Bản tin được
mật mã
C
Bản tin được
mật mã
C
Khóa K
Khóa K
Bản tin được
mật mã
C
Bản tin được
mật mã
C
Khóa K
Khóa K
Bản tin ban
đầu
Bản tin ban
đầu
Giải mã
D
K
(C)=P
Giải mã
D
K
(C)=P
Bản tin ban
đầu
Bản tin ban
đầu
18
AN TOÀN DỮ LIỆU TRONG IP-VPN
Mật mã
Hệ thống mật mã khóa đối xứng
Giải thuật DES
19
AN TOÀN DỮ LIỆU TRONG IP-VPN
Mật mã
Hệ thống mật mã khóa công khai
Khóa công khai
Đoạn tin
Khóa bí mật
Đoạn tin
được mật mã
Đoạn tin
User A
Giải thuật
mã hóa
Giải thuật
mã hóa
Giải thuật
giải mã
Giải thuật
giải mã
User B
Kênh
truyền
Nguyên lý mật mã khóa công khai
Nguyên lý mật mã khóa công khai
C = E
C = E
KUb
KUb
(M)
(M)
M = D
M = D
KRb
KRb
(C)=D
(C)=D
KRb
KRb
[E
[E
KUb
KUb
(M)]
(M)]
20
AN TOÀN DỮ LIỆU TRONG IP-VPN
Xác thực
Xác thực tính toàn vẹn dữ liệu
•
Phát hiện các bản tin bị lỗi
•
Bảo vệ chống sửa đổi bất hợp pháp bản tin
Xác thực nguồn gốc dữ liệu
21
AN TOÀN DỮ LIỆU TRONG IP-VPN
Xác thực
Xác thực tính toàn vẹn dữ liệu
Cấu trúc cơ bản của MD5/SHA
Document
Document
Pad
Pad
L
L
Khối 1
512 bit
Khối 1
512 bit
Khối 2
512 bit
Khối 2
512 bit
Khối N
512 bit
Khối N
512 bit
Hàm băm
MD5/SHA
Hàm băm
MD5/SHA
Hàm băm
MD5/SHA
Hàm băm
MD5/SHA
Hàm băm
MD5/SHA
Hàm băm
MD5/SHA
H
a
s
h
H
a
s
h
H
a
s
h
I
V
N x 512 bit
IV 128/160 bit Initialization vector P Padding
Hash 128/160 bit Hash value L 64 bit Document Length
22
AN TOÀN DỮ LIỆU TRONG IP-VPN
Xác thực
Xác thực nguồn gốc dữ liệu
Giao thức hỏi đáp sử dụng chữ ký số
Giao thức hỏi đáp sử dụng chữ ký số
Giá trị ngẫu nhiên
(Nonce)
Kênh không
an toàn
ID
U
ID
U
R
U
R
U
R
S
R
S
Hash
Hash
ID
U
ID
U
R
U
R
U
Sig
Sig
ID
U
ID
U
R
U
R
U
R
S
R
S
R
S
R
S
Giải mã với
khóa công khai
Giải mã với
khóa công khai
Sig
Sig
Khẩu lệnh
Đáp
User Server
Mật mã với
khóa bí mật
Mật mã với
khóa bí mật
Hash
Hash
Hash
Hash
23
AN TOÀN DỮ LIỆU TRONG IP-VPN
Xác thực
Xác thực nguồn gốc dữ liệu
Client
Certificate
Trust
Verisign
Verisign
Self Signed
Self Signed
Amazon
Amazon
Verisign
Verisign
Bob
Bob
Amazon
Amazon
Alice
Alice
Amazon
Amazon
Carol
Carol
Swisskey
Swisskey
Swisskey
Swisskey
Self Signed
Self Signed
Intermediate CA
Root CA
Mô hình phân cấp tin tưởng các chứng thực CA
24
THỰC HIỆN IP-VPN
Các kiến trúc khởi tạo truy nhập IP-VPN
IP-VPN truy nhập từ xa
Kiến trúc khởi tạo từ máy khách
Kiến trúc khởi tạo từ máy chủ truy nhập NAS
25
THỰC HIỆN IP-VPN
Các kiến trúc khởi tạo truy nhập IP-VPN
Site-to-Site IP-VPN
Kiến trúc khởi tạo từ Router