Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh
PHIẾU GIAO NHIỆM VỤ
1. Đề tài tốt nghiệp:
"Công nghệ IP-VPN"
2. Nhiệm vụ thiết kế:
















Ngày tháng năm 2012
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
GIÁO VIÂN HƯỚNG DẪN
(Ký, ghi rõ họ tên)
Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

Ngày tháng năm 2012
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
GIÁO VIÂN PHẢN BIỆN
(Ký, ghi rõ họ tên)
Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh
LỜI NÓI ĐẦU
Cùng với xu hướng IP hóa mạng viễn thông hiện nay, vấn đề đảm bảo an ninh
cho dữ liệu khi truyền qua mạng IP là vấn đề mang tính chất tất yếu. Đối với các tổ
chức có phạm vi hoạt động rộng khắp, nhân viên luôn di chuyển trong quá trình làm
việc thì việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các
công việc quản lý hoạt động của mạng luôn được đặt ra, và IP-VPN là một giải pháp
hiệu quả. Theo như dự đoán của nhiều hãng trên thế giới thì thị trường VPN sẽ là thị
trường phát triển rất mạng trong tương lai.
Thực tế thì VPN không phải là một khái niệm mới. Nó được định nghĩa là mạng
kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với
các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng. Đã có
rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy
nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi

phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong
khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu và không
chắc chắn về vấn đề an ninh của kênh riêng này.
Với IP-VPN, các doanh nghiệp sẽ giảm được chi phí cho vận hành, duy trì
quản lý đơn giản, khả năng mở rộng tại các vùng địa lí khác nhau một cách linh hoạt
và không hạn chế. Vấn đề an toàn của số liệu khi truyền bị phụ thuộc nhiều vào các
giải pháp thực hiện IP-VPN của doanh nghiệp, ví dụ như giao thức đường ngầm sử
dụng, các thuật toán mã hóa đi kèm và độ phức tạp của các thuật toán mã hóa này…
nhưng không phụ thuộc vào kiến trúc cơ sở hạ tầng của mạng viễn thông.
Mục đích của đồ án “Công nghệ IP-VPN” là tìm hiểu những vấn đề kỹ thuật
cơ bản có liên quan đến việc thực hiện IP-VPN, nội dung cụ thể như sau:
 Chương 1: Bộ giao thức TCP/IP. Chương này trình bày khái niệm của mô
hình phân lớp bộ giao thức TCP/IP. Trong đó tập trung đến 2 lớp là lớp Internet và
lớp vận chuyển. Đây là lớp giao thức nền tảng chung cho các thiết bị trong mạng
Internet, là cơ sở quan trọng cho nền tảng các mạng dựa trên IP. Qua đấy chúng ta
cũng nhận ra rằng mạng Internet nguyên thủy hoàn toàn không hỗ trợ các dịch vụ an
ninh và IP-VPN là một trong giải pháp cho vấn đề an ninh Internet.
 Chương 2: Công nghệ mạng riêng ảo trên Internet IP-VPN. Chương này
bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm của nó để có thể trở thành một
giải pháp có khả năng phát triển mạnh trên thị trường. Tiếp theo là trình bày về các
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
1
Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh
khối chức năng cơ bản của IP-VPN, phân loại mạng riêng ảo theo cấu trúc của nó.
Cuối cùng là trình bày về các giao thức đường ngầm sử dụng cho IP-VPN. Ở đây chỉ
trình bày một cách khái quát nhất về hai giao thức đường ngầm hiện đang tồn tại và
các sản phẩm tương đối phổ biến trên thị trường là PPTP và L2TP.
 Chương 3: Giao thức IPSec cho IP-VPN. Chương này trình bày các vấn
đề sau đây: thứ nhất là giới thiệu, khái niệm về giao thức IPSec và các chuẩn RFC có
liên quan. Thứ hai, trình bày vấn đề đóng gói thông tin IPSec, cụ thể là hai giao thức

đóng gói là AH (nhận thực tiêu đề) và ESP (đóng gói an toàn tải tin). Thứ ba, trình
bày về kết hợp an ninh SA và giao thức trao đổi khóa IKE để thiết lập các chính sách
và tham số cho kết hợp an ninh giữa các bên VPN. Thứ tư, giới thiệu về các giao thức
đang tồn tại ứng dụng cho IPSec, bao gồm có: mật mã bản tin, toàn vẹn bản tin, nhận
thực các bên và quản lý khóa. Cuối cùng là một ví dụ về IP-VPN sử dụng giao thức
đường ngầm IPSec.
 Chương 4: An toàn dữ liệu trong IP-VPN. Nội dung của chương này là
một số thuật toán được áp dụng để đảm bảo an toàn dữ liệu cho IP-VPN dựa trên
IPSec. Đối với vấn đề an toàn dữ liệu có 2 vấn đề chính đó là mật mã dữ liệu và xác
thực dữ liệu. Đối với mật mã dữ liệu, tồn tại hai thuật toán là khóa đối xứng và khóa
công khai. Ở đây đã trình bày chi tiết về thuật toán khóa đối xứng DES và cơ sở lí
thuyết của thuật toán khóa công khai. Ngoài ra, phần này còn trình bày về trao đổi
khóa Diffie-Hellman. Đối với xác thực dữ liệu có hai vấn đề trọng tâm là xác thực
nguồn gốc dữ liệu và xác thực tính toàn vẹn của dữ liệu: thuật toán MD5/SHA-1để
đảm bảo vấn đề toàn vẹn dữ liệ; giới thiệu các phương pháp xác thực và chứng thực
số để xác định nguồn gốc dữ liệu.
 Chương 5: Thực hiện VPN. Do có nhiều hãng tham gia phát triển các sản
phẩm cho IP-VPN và mỗi hãng lại có nhiều dòng sản phẩm nên thực tế có rất nhiều
mô hình thực hiện VPN. Chương này giới thiệu một số mô hình cụ thể thực hiện IP-
VPN. Phần cuối của chương giới thiệu tình hình thị trường VPN Việt Nam.
Tôi xin chân thành cảm ơn Thầy Đinh Hữu Thanh đã tận tình dạy dỗ và giúp
đỡ tôi trong quá trình học tập cũng như làm đồ án này.
Hà Nội, ngày 22 tháng 4 nămg 2012
Sinh viên: Phạm Quang Khải
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
2
MỤC LỤC
LỜI NÓI ĐẦU 1
MỤC LỤC 3
24 8

DAN 8
T TẮT 16
C 16
KÝ HIỆU TOÁN HỌC 16
CHƯƠNG 1 17
BỘ GIAO THỨC TCP/ 17
ư E-mail, truyền nhận file) 18
1.2 Mô hìn 18
, wireless, Async, ATM, SNA… 19
1.3Các g 19
o thức trong mô hình T C 19
IP 20
1.3.1 Giao thức Inte 20
: Giao thức kết nối vô 21
u bắt đầu trong phạm vi 32 bit 23
1.3.1.3 23
ng và node khác nhau để tới đích 24
ược tính đến khi lựa chọn tuyến 25
àn 27
Hỗ trợ mạng thông tin di đ 27
g 28
1.3.2. Giao thức l 28
không được tính đến tr 29
Cơ chế cửa s 34
N là một 35
rong những giải pháp hiệu quả 35
CHƯƠ 35
2 35
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
3

CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN 35
2 36
Gới thiệu về mạng riêng ảo trên Internet IP-VPN 36
2.1.1 36
tất cả các thực thể thông qua môi 36
c yếu tố thúc đẩy sự phát triển ca th 37
c 38
An ninh 38
Truyền Tunnel 38
hạn tính chỉ có 39
L2TP Access C 40
PN để cách ly lưu lựong AAA với lưu 40
ưu ý rằng AH h ữu ích khi cần cu 43
ng 43
Trễ của Tunnel 43
Tốc độ tế bào/ gói đ 43
ọi trực tiếp, các phương phá 44
số theo phương tiện của 46
có các địa chỉ mạng riên 46
khác nhau được kết nối 47
sắp xếp an ninh duy nhất giữa các thành 48
hức đường ngầm là PPTP và L2TP. Với giao thức đườn 49
ụng giao thức PPTP với một giao diện nối với Internet v 50
r, trailer của lớp đường truyền dữ liệu 51
ại tương tự hoặc ISDN ) , nó sẽ được đ 52
và giải nén phần PPP P 52
WAN tương ứng đại diện cho phần cứng quay 54
i mạng Intranet. Các dữ liệu đường ngầm và dữ liệu duy 55
c định đường ngầm, và một mã số 55
(chẳng hạn đường dây điện thoại ISDN), IP datagram đ 56

hể 57
Dựng PPP Header để xác định PPP Paylo 57
r và Trailer 58
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
4
một gia 60
thức được xem nh ư t ối ưu 60
ho công nghệ 60
triển để giải quyết vấn đ 61
mục lục sao cho khi kết hợp một địa ch 62
oạt các RFC (Request for Comment 64
có liên quan đến IPSec 64
nnel (đường ngầm). Sau 64
o như IETF thì kiểu 65
P-VPN không cần phải thay đổi ứng d 66
g hay hệ điều hành 66
không thể dự đoán trước đượ 67
ền đến khi so sánh với nha 69
c dù dịch vụ này được sử dụng hay không là 73
oàn toàn dựa vào t 73
Dịch vụ chống phát lại chỉ c 73
SA ag xét. Thuật toán xác 76
SPI, địa chỉ đích, trương Protocol type sai 83
Độ dài 83
ần Padding hoặc giá trị 83
a nó bị sai 83
Gói ESP mật mã b 83
AH hay ESP) và tìm SA 84
nhau: Mỗi đường hầm bên 86
. Cho xử lý đi ra, một lối vào SP 87

hai được hoàn thành n 88
ruyền. Khi chúng khô 90
hực đối tác 93
Có ha 93
ai cách tính thời g 95
lập các kết hợp an ninh IPS 95
thì một IKE pha 2 mới sẽ thực hiện. Trong trường hợp 96
mật mã, nhận thực, t 96
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
5
ó 2 tiêu chuẩn cơ bản để mật mã dữ li 96
mật mã những khối 64 bit do văn bản rõ (clear tex 97
trình đóng gói, một qu 97
đó là MD5 và SHA-1 (Secure Hash Algor 98
yêu cầu có HMAC. HMA 98
được lưu trong trường nhận thực 98
tóm tắt bản tin trong 99
ện nhận thực các bên. Quá 99
ẻ trước 99
Xử lý khóa c 99
ký số RSA được yêu cầu, mộ 100
chia sẻ khóa công 100
quản lý thủ công. Vấn đề xuất hi 101
fie-Helman để thương lượng 102
chng nhận theo chu kì mà nó đã hết hiệu lực hoặc đã 103
để đưa gói 104
hiết lập 105
Nhiệm vụ của giao thức IKE 105
hính là thương 105
iới hạn cứ 107

nhắc phải sử dụng đún 107
ng một khóa qua một kênh tin cậy và khó 108
này phải tồn tại trước quá trình tru 109
IV (Initialization Vector). IV được truyền qua kê 110
ử dụng một thuật toán mật mã khóa đối xứng với n đối 113
ến 10 vòng 114
Trong 5 thuật toán trên, NIST đ 114
n (pseudo-random sequence) khởi tạo 115
i một khóa bí mật (secret key). Chuỗi khóa được XOR 115
nput). Nếu chiều dài input là n bớt thì th 117
oại Commercial 120
Loại Militery 120
Trên đây l 120
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
6
u: hai bên A 121
= 4 121
Hai bên chọn khóa bí mật là K A = 121
mật mã khóa đối xứng và khóa không đối xứng. Gải pháp khóa đố 122
lấy giá trị định nghĩa trước trong các chuẩn MD5, SHA. Một giá trị hash sẽ 125
a vòng băm thứ nhất 128
Phưong pháp xác thực tính toàn vẹn 128
số đó 129
Do các khóa công khai đ 129
c phân bố rộng rãi, nên bất cứ n 130
quá trình xác thực được lấy từ một thư mục công 133
c bao gồ 137
các thông tin sau 137
Version Numbe 137
ản phẩm có thể là chuyên dụng (p 138

bao số (DSL), đi 139
vậy cần cân nhắc thận trọng trước khi 140
hập nào để kết nối tới Internet. Thêm vào đó, phươn 140
sử dụng và POP. Phần kết nối còn lại đư 141
mô hình này, tổ chức và nhà cung cấ 142
iện VPN 142
như ta đã biết, có n 143
oán HMAC-MD5 (128 bit), HMA 143
đường ngầm dựa trên các 146
r mật mã và đóng gói IP ban đầu với ESP 147
N tại Hà 148
i. Đây cũng chính 149
nc 151
7) Security P 151
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
7
Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh
24
DAN
xuống lớp vật lý) như sau: 18
Hình 1.1: Mô hìn 19
gói và sai thứ tự gói tin 20
Hình 1.2: Định 20
ruyền tin cậy (ví dụ TCP) 21
Hình 1 21
mô tả như trong hình 1.4 21
H 22
minh họa hiện tượng phân mảnh 24
Hình 24
IP thành các lớp A, B, C, D, E 25

inh họa cấu trúc gói tin IPv6 26
DP được mô tả như trong hình 1 28
khiển luồng 29
a) Cấu trúc tiêu 29
hợp đơn giản có thể minh họa như sau: 31
Hình 31
n xóa bỏ những ghi nhận về kết nối 32
n dẫn và điều khiển tốc độ dòng dữ liệu 34
Hình 1.12 34
2,8 đến 46 tỷ đô la trong các năm từ 2001 đến 2006 37
Hình 2.1: 37
qua đó các gói được truyền tải với mức an ninh 41
ậy khỏi mạng IP công cộng bằng cách sử dụng các địa c 42
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
8
Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh
lựa chọn cho IP-VPN truy nhập qu 46
ử dụng vào các mạng con L 47
iển truy nhập đa lớp và c 48
CP header, các bản tin điều khiển PPTP và các hea 51
ầm PPTP được đóng gói thông qua n 51
rúc mạng (từ một IP-VPN clien 53
gửi như các UDP datagram. UDP dat 55
đóng gói. Hình 2.11 chỉ ra cấu t 56
ột IP-VPN client thông qua một 57
để phần IP header ban đầu ở dạng bản 65
g gói vào một IP header mới. Địa c 65
A và B). Khi sử dụng kiểu Tunnel, các đầu cuối của 66
ưu lượng email nhưng không đối với các dịch vụ w 68
n header mở rộng hop-to-hop, routing và fragmentation. Các lựa chọn 70

(dest options extension headers) có thể trước hoặc sau AH 70
Hìn 71
trong khi AH Transport chỉ bảo vệ một số trường của IP 71
n AH. Phần header của giao t 74
trong trường protocol của n 74
ên, do ESP chỉ bảo vệ các trường phía sau ESP header, nên các lựa chọn 77
h thường được đặt sau ESP header. Chi tiết về IPv6 có thể xem trong RF 77
rong kiểu này, ESP sẽ bảo vệ toàn bộ gói tin IP bên tron 78
hai điểm cuối SA đều trùng nhau: mỗi đường ngầm bên trong h 85
tức là AH bên trong AH và ESP bên trong ESP 85
Hình 3.13: Kết 85
hay bên ngoài có thể là AH hay ESP 86
Hình 3.14: Kết hợp SA kiểu T 86
y định ra một cách rõ ràng rằng IKE có tất cả 2 pha. Pha thứ nhất 88
àm việc khác nhau dựa vào mục đ 89
g để tạo khóa cho quá trình mật mã dữ liệu, được lưu với tên 91
i một kết hợp an ninh mới khi kết h 94
IP-VPN đảm bảo: có hỗ trợ IPSec (bao gồm các giao thức 103
g lai. Điều này thể hiện tính linh hoạt rất cao của IPSec 107
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
9
Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh
Nội 107
thuật toán mật mã khối ECB, một khối plai 109
CBC nào cũng phải được khởi tạo bởi một véc t 110
t rộng rãi. Nó còn là cơ sở 111
R 0 với L 0 = t 1 …t 3 112
a kênh không an toàn. Số lượng các khóa bí mật cần thiết khi 113
t chuỗi số giả ngẫu nh 115
hanh ghi hay một file công khai 116

n gần giống hệt nhau thì mã hash của chúng lại hoàn toàn khác nhau 123
Do 123
gy) với sự cộng tác của NSA (National Secu 124
an toàn hơn vì kích thước hash lớn hơn 124
u. Sau khi khối dữ liệu 512 bit cuối cùng được xử lý thì giá trị h 126
ực bản tin MAC. Phía thu sử dụng khóa bí mật để 127
a trên hệ thống mật 129
áp 131
Để xác thực qua một kênh khô 131
g mật mã khóa công khai đã trở nên thông dụng 132
ủa người đó 133
4.3.2.2 Các chứng thực số (digital certifi 133
g tâm (central authority) 134
b) Mô hình tin tưởng thứ hai 134
Mô hình tin 134
CA trung gian này thường được cấp phát với ký tự R 135
cung cấp dịch vụ VPN cho cá 139
g tâm. Trong phương án này có thể sử dụng bất kỳ công nghệ truy 140
có một phần kết nối không được bảo vệ giữa ngư 141
h tất cả các PC 141
Hình 5.3: Truy n 141
tiến hơn, chẳng hạn thuật toán mật mã AES, xác th 144
ợc các ứng dụng truy nhập từ xa sử dụng 145
: địa chỉ, thuật toán 146
Thiết l 146
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
10
Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh
tới VPN Concentrantor, VPN Concentra 147
SV: Phạm Quang Khải - Lớp: 09TM05ĐT

11
Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
chuẩn tham chiếu có liên quan 63
IETF đưa ra một 63
chính xác, dữ liệu được bảo vệ thành công và được 90
số, chính sách của liên kết an ninh trong quá trì 105
n toàn như mong muốn. Bảng 4.1 là tóm tắt một số giao thức, 106
i quyết trong thời gian nhất định (nó phụ thuộc vào chiều dài 117
i A. Khi đó B tính C=M e mod n và truyền C. Khi 119
n đòi hỏi một lượng tính toán rất lớn liên quan đến vấn đề l 120
vụ tr ợ giúp, huấn luyện… 142
5.2.3 Một số sản phẩm thực 142
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
12
Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
Viết tắt Chú giải tiếng Anh Chú giải tiếng Việt
3DES Triple DES Thuật toán mã 3DES
AA Acccess Accept Chấp nhận truy nhập
AAA Authentication, Authorization
and Accounting
Nhận thực, trao quyền và thanh toán
AC Access Control Điều khiển truy nhập
ACK Acknowledge Chấp nhận
ACL Acess Control List Danh sách điều khiển truy nhập
ADSL Asymmetric Digital Subscriber
Line
Công nghệ truy nhập đường dây thuê
bao số không đối xứng
AH Authentication Header Giao thức tiêu đề xác thực
ARP Address Resolution Protocol Giao thức phân giải địa chỉ

ARPA Advanced Research Project
Agency
Cục nghiên cứu các dự án tiên tiến của
Mỹ
ARPANET Advanced Research Project
Agency
Mạng viễn thông của cục nghiên cứu
dự án tiên tiến Mỹ
ATM Asynchronous Transfer Mode Phương thức truyền tải không đồng bộ
BGP Border Gateway Protocol Giao thức định tuyến cổng miền
B-ISDN Broadband-Intergrated Service
Digital Network
Mạng số tích hợp đa dịch vụ băng rộng
BOOTP Boot Protocol Giao thức khởi đầu
CA Certificate Authority Thẩm quyền chứng nhận
CBC Cipher Block Chaining Chế độ chuỗi khối mật mã
CHAP Challenge - Handshake
Authentication Protocol
Giao thức nhận thực đòi hỏi bắt tay
CR Cell Relay Công nghệ chuyển tiếp tế bào
CSU Channel Service Unit Đơn vị dịch vụ kênh
DCE Data communication Equipment Thiết bị truyền thông dữ liệu
DES Data Encryption Standard Thuật toán mã DES
DH Diffie-Hellman Giao thức trao đổi khóa Diffie-Hellman
DLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết dữ liệu
DNS Domain Name System Hệ thông tên miền
DSL Digital Subscriber Line Công nghệ đường dây thuê bao số
DSLAM DSL Access Multiplex Bộ ghép kênh DSL
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
13

Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
DTE Data Terminal Equipment Thiết bị đầu cuối số liệu
EAP Extensible Authentication
Protocol
Giao thức xác thực mở rộng
ECB Electronic Code Book Mode Chế độ sách mã điện tử
ESP Encapsulating Sercurity Payload Giao thức đóng gói an toàn tải tin
FCS Frame Check Sequence Chuỗi kiểm tra khung
FDDI Fiber Distributed Data Interface Giao diện dữ liệu cáp quang phân tán
FPST Fast Packet Switched
Technology
Kỹ thuật chuyển mạch gói nhanh
FR Frame Relay Công nghệ chuyển tiếp khung
FTP File Transfer Protocol Giao thức truyền file
GRE Generic Routing Encapsulation Đóng gói định tuyến chung
HMAC Hashed-keyed Message
Authenticaiton Code
Mã nhận thực bản tin băm
IBM International Bussiness Machine Công ty IBM
ICMP Internet Control Message
Protocol
Giao thức bản tin điều khiển Internet
ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn
IETF Internet Engineering Task Force Cơ quan tiêu chuẩn kỹ thuật cho Internet
IKE Internet Key Exchange Giao thức trao đổi khóa
IKMP Internet Key Management
Protocol
Giao thức quản lí khóa qua Internet
IN Intelligent Network Công nghệ mạng thông minh
IP Internet Protocol Giao thức lớp Internet

IPSec IP Security Protocol Giao thức an ninh Internet
ISAKMP Internet Security Association
and Key Management Protocol
Giao thức kết hợp an ninh và quản lí
khóa qua Internet
ISDN Intergrated Service Digital
Network
Mạng số tích hợp đa dịch vụ
ISO International Standard
Organization
Tổ chức chuẩn quốc tế
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
IV Initial Vector Véc tơ khởi tạo
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2
LAN Local Area Network Mạng cục bộ
LCP Link Control Protocol Giao thức điều khiển đường truyền
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
14
Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
MAC Message Authentication Code Mã nhận thực bản tin
MD5 Message Digest 5 Thuật toán tóm tắt bản tin MD5
MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất
NAS Network Access Server Máy chủ truy nhập mạng
NGN Next Generation Network Mạng thế hệ kế tiếp
NSA National Sercurity Agency Cơ quan an ninh quốc gia Mỹ
OSI Open System Interconnnection Kết nối hệ thống mở
OSPF Open Shortest Path First Giao thức định tuyến OSPF
PAP Password Authentication
Protocol

Giao thức nhận thực khẩu lệnh
PDU Protocol Data Unit Đơn vị dữ liệu giao thức
PKI Public Key Infrastructure Cơ sở hạn tầng khóa công cộng
POP Point - Of - Presence Điểm hiển diễn
PPP Point-to-Point Protocol Giao thức điểm tới điểm
PPTP Point-to-Point Tunneling
Protocol
Giao thức đường ngầm điểm tới điểm
PSTN Public Switched Telephone
Network
Mạng chuyển mạch thoại công cộng
RADIUS Remote Authentication Dial-in
User Service
Dịch vụ nhận thực người dùng quay số
từ xa
RARP Reverse Address Resolution
Protocol
Giao thức phân giải địa chỉ ngược
RAS Remote Access Service Dịch vụ truy nhập từ xa
RFC Request for Comment Các tài liệu về tiêu chuẩn IP do IETF
đưa ra
RIP Realtime Internet Protocol Giao thức báo hiệu thời gian thực
RSA Rivest-Shamir-Adleman Tên một quá trình mật mã bằng khóa
công cộng
SA Security Association Liên kết an ninh
SAD SA Database Cơ sở dữ liệu SA
SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1
SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản
SN Sequence Number Số thứ tự
SPI Security Parameter Index Chỉ số thông số an ninh

SS7 Signalling System No7 Hệ thống báo hiệu số 7
TCP Transmission Control Protocol Giao thức điều khiển truyền tải
TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
15
Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
TLS Transport Level Security An ninh mức truyền tải
UDP User Data Protocol Giao thức dữ liệu người sử dụng
VPN Virtual Private Network Mạng riêng ảo
WAN Wide Area Network Mạng diện rộng
KÝ HI
Ký hiệu Ý nghĩa
C Văn bản mật mã.
D Thuật toán giải mã.
D
K
Thuật toán giải mã với khóa K.
E Thuật toán mật mã.
E
K
Thuật toán mật mã với khóa K.
IV Vectơ khởi tạo.
K Khóa K.
KR Khóa bí mật.
KU Khóa công cộng.
L
i
, R
i
Bớt bên trái và bên phải tại vòng thứ i của thuật toán mã hóa DES.

P Văn bản rõ.
T TẮT
C
KÝ HIỆU TOÁN HỌC
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
16
Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
CHƯƠNG 1
BỘ GIAO THỨC TCP/
1.1 Khái niệm mạng Internet
Tháng 6/1968, một cơ quan của Bộ Quốc phòng Mỹ là Cục các dự án nghiên
cứu tiên tiến (Advanced Research Project Agency - viết tắt là ARPA) đã xây dựng dự
án nối kết các trung tâm nghiên cứu lớn trong toàn liên bang với mục tiêu là chia sẻ,
trao đổi tài nguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng
Internet hôm nay. Ban đầu, giao thức truyền thông được sử dụng trong mạng
ARPANET là NCP (Network Control Protocol), nhưng sau đó được thay thế bởi bộ
giao thức TCP/IP (Transfer Control Protocol/ Internet Protocol). Bộ giao thức TCP/IP
gồm một tập hợp các chuẩn của mạng, đặc tả chi tiết cách thức cho các máy tính thông
tin liên lạc với nhau, cũng như quy ước cho đấu nối liê
mạng và định tuyến cho mạng.
Trước đây, người ta định nghĩa “Internet là mạng của tất cả các mạng sử dụng
giao thức IP”. Nhưng hiện nay, điều đó không còn chính xác nữa vì nhiều mạng có
kiến trúc khác nhau nhưng nhờ các cầu nối giao thức nên vẫn có thể kết nối vào
Internet và vẫn có thể sử dụng đầy đủ các dịch vụ Internet. Internet không chỉ là một
tập hợp các mạng được liên kết với nhau, Internetworking còn có nghĩa là các mạng
được liên kết với nhau trên cơ sở cùng đồng ý với nhau về các quy ước mà cho phép
các máy tính liên lạc với nhau, cho dù con đường liên lạc sẽ đi qua những mạng mà
chúng không được đấu nối trực tiếp tới. Như vây, kỹ thuật Internet che dấu chi tiết
phần cứng của mạng, và cho phép các hệ thống máy tính trao đổi thông tin độc lập với
những l

n kết mạng vật lý của chúng.
TCP/IP có những đặc điểm sau đây đ
- làm cho nó trở nên phổ biến:
Độc lập với kến trúc mạng: TCP/IP có thể sử dụng trong các kiến trúc Ethernet,
Token Ring, trong mạng cục bộ LN
- ũng như mạng diện rộng WAN .
Chuẩn giao thức mở: vì TCP/IP có thể thực hiện trên bất kỳ phần cứng hay hệ
điều hành nào. Do đó, TCP/IP là tập giao thức lý tưởng để kết hợp phần cứn
- cũng như phần mềm khác nhau.
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
17
Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
Sơ đồ địa chỉ toàn cầu: mỗi máy tính trên mạng TCP/IP có một địa chỉ xác
định duy nhất. Mỗi gói dữ liệu được gửi trên mạng TCP/IP có một Header gồm địa chỉ
của máy đích c
- g như địa chỉ của máy nguồn.
Khung Client - Server: TCP/IP là khung cho những ứng dụng client - server
mạnh hoạt động trên
- ng cục bộ và mạng diện rộng.
Chuẩn giao thức ứng dụng: TCP/IP không chỉ cung cấp cho người lập trình
phương thức truyền dữ liệu trên mạng giữa các ứng dụng mà còn cung cấp nhiều
phương thức mức ứng dụng (những giao thức thực hiện các chức năng dựng
ư E-mail, truyền nhận file).
1.2 Mô hìn
phân lớp bộ giao thức TCP/IP
Bộ giao thức TCP/IP là sự kết hợp của các giao thức khác nhau ở các lớp khác
nhau, không chỉ có các giao thức TCP và IP. Mỗi lớp có chức năng riêng. Mô hình
TCP/IP được tổ chức thành 4 lớp (theo cách nhìn từ phía ứng d
xuống lớp vật lý) như sau:
SV: Phạm Quang Khải - Lớp: 09TM05ĐT

18
Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
Hình 1.1: Mô hìn
 phân lớp bộ giao thức TCP/IP
Lớp ứng dụng (Application layer): Điều khiển chi tiết từng ứng dụng cụ thể.
Nó tương ứng với các lớp ứng dụng, trình diễn trong mô hình OSI. Nó gồm các giao
thức mức cao, mã hóa, điều khiển hội thoại … Các dịch vụ ứng dụng như SMTP, FTP,
TFTP … Hiện nay có hàng trăm hoặc thậm chí hàng nghìn các giao thức thuộc lớp
này. Các chương trình ứng dụng giao tiếp với các giao thức ở lớp vận chuyển để
truyền và nhận dữ liệu. Chương trình ứng dụng truyền dữ liệu ở dạng yêu cầu đến lớp
vận chuyển để xử lý trước khi chuyển xuống
 ớp Internet để tìm đường đi.
Lớp vận chuyển (Transport layer): Chịu trách nhiệm truyền thông điệp
(message) từ một số tiến trình (một chương trình đang chạy) tới một tiến trình khác.
Lớp vận chuyển sẽ đảm bảo thông tin truyền đến nơi nhận không bị lỗi và đúng theo
trật tự. Nó có 2 giao thức rất khác nhau là giao thức điều khiển truyền dẫn TCP và giao
thức
 ữ liệu đồ người sử dụng UDP.
Lớp Internet (Internet layer): Cung cấp chức năng đánh địa chỉ, độc lập phần
cứng mà nhờ đó dữ liệu có thể di chuyển giữa các mạng con cú kiến trúc vật lý khác
nhau. Lớp này điều khiển việc chuyển gói qua mạng, định tuyến gói. (Hỗ trợ giao thức
liên IP - khái niệm liên mạng là nói tới mạng lớn hơn: mạng liên kết giữa các mạng
LAN). Các giao thức của l
 này là IP, ICMP, ARP, RARP.
Lớp truy cập mạng (Network Access Network): Cung cấp giao tiếp với mạng
vật lý. (Thông thường lớp này bao gồm các driver thiết bị trong hệ thống vận hành và
các card giao diện mạng tương ứng trong máy tính. Lớp này thực hiện nhiệm vụ điều
khiển tất cả các chi tiết phần cứng hoặc thực hiện giao tiếp vật lý vớ cácp (hoặc với bất
kỳ môi trường nào được sử dụng)). Cung cấp kiểm soát lỗi dữ liệu phân bố trên mạng
vật lý. Lớp này không định nghĩa một giao thức riêng nào cảó hỗ trợ tất cả các giao th

ứ c chuẩn và độc quyền. Ví dụ: Ethernet, Tocken Ring, FDDI, X.
, wireless, Async, ATM, SNA…
1.3Các g
o thức trong mô hình T C
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
19
Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
IP
1.3.1 Giao thức Inte
et
1.3.1.1 Giới thiệu chung
Mục đích của giao thức Internet là chuyển thông tin (dữ liệu) từ nguồn tới đích.
IP sử dụng các gói tin dữ liệu đồ dtagram). Mỗi datagram có ch ứ a địa chỉ đích và IP
sử dụng thông tin này để định tuyến gói tin tới đích của nó theo đường đi thích hợp.
Các gói tin của cùng một cặp người sử dụng dựng những tuyến thông tin khác nhau,
việc định tuyến là riêng biệt đối với từng gói tin. Giao thức IP không lưu giữ trạng
thái, sau khi datagram được chuyển đi thì bên gửi không còn lưu thông tin gì về nó
nữa, vì thế mà không có phương pháp nào để phát hiện các gói bị mất và có thể dẫn tới
trình trạng
gói và sai thứ tự gói tin.
Hình 1.2: Định
yến khi sử dụng IP datagram.
Giao thức Internet là giao thức phi kết nối (connectionless), nghĩa là không cần
thiết lập đường dẫn trước khi truyền dữ liệu và mỗi gói tin được xử lí độc lập. IP
không kiểm tra tổng cho phần dữ liệu của nó, chỉ có Header của gói là được kiểm tra
để tránh gửi nhầm địa chỉ. Các gói tin có thể đi được theo nhiều hướng khác nhau để
tới đích. Vì vậy dữ liệu trong IP datagram không được đảm bảo. Để xử lý nhược điểm
mất hoặc lặp gói IP phải dựa vào giao thức lớp cao hơn
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
20

Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
ruyền tin cậy (ví dụ TCP).
Hình 1.
: Giao thức kết nối vô
ướng
1.3.1.2. Cấu trúc IPv4
Thông tin nhận từ lớp vận chuyển được gán thêm vào tiêu đề IP. Tiêu đề này có
chiều dài từ 20 đến 60 bytes trên đường đi tùy thuộc vào các chức năng lựa chon được
sử dụng. Cấu trúc gói IPv4
mô tả như trong hình 1.4.
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
Sender 1
Sender 1
Receiver
Data
Data
Data
Data
Data
Data
Sender 2
Sender 2
21
Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
H
h 1.4: Cấu trúc gói tin IPv4
 ải thích ý nghĩa các trường:
Version (phiên bản): chỉ ra phiên bản của giao thức IP dựng để tạo datagram,
được sử dụng để máy gửi, máy nhận, các bộ định tuyến cùng thống nhất về định dạng
lược đồ dữ

 ệu. Ở đây phiên bản là IPv4.
IP header length (độ dài tiêu đề IP): cung cấp thông tin về độ dài của tiêu đề
datagram
 ược tính theo các từ 32 bit.
Type of service (loại dịch vụ): trường loại phục vụ dài 8 bit gồm 2 phần,
trường ưu tiên và kiểu phục vụ. Trường ưu tiên gồm 3 bit dựng đ gán mức ưu tiên cho
datagram , cung cấp cơ chế cho phép điều khiển các gói tin qua mạng. Các bit còn lại
dựng để xác định kiểu lưu lượng datagram tin khi nó chuyển qua mạng như đặc tính
thông, độ trễ và độ tin cậy. Tuy nhiên, bản thân mạng Internet không đảm bảo chất
lượng dịch vụ, vì vậy trường này chỉ mạng tính yêu cầu chứ không mang tính đòi
 i đối với các bộ định tuyến.
Total length (tổng độ dài): trường này gồm 16 bit, nó sử dụng để xác định ch
 u dài của toàn bộ IP datagram.
Identification (nhận dạng): trường nhận dạng dài 16 bit. Trường này được máy
chủ dựng để phát hiện và nhóm các đoạn bị chia nhỏ ra của gói tin. Các bộ định tuyến sẽ
chia nhỏ các datagram nếu như dơn vị truyền tin lớn nhất của gói tin (MTU-Maximum
Transmission Unit) lớ
 hơn MTU của môi trường truyền.
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
22
Đồ án tốt nghiệp Đại học Ký hiệu viết tắt
Flags (cờ): chứa 3 bit được sử dụng cho quá trình điều khiển phân đoạn, bớt
đầu tiên chỉ thị tới các bộ định tuyến cho phép hoặc không cho phép phân đoạn gói tin,
2 bit giá trị thấp được sử dụng điều khiển phân đoạn, kết hợp với trường nhận dạng để
xác định được gói t
 nhận sau quá trình phân đoạn.
Fragment offset: mạng thông tin về số lần chỉa một gói tin, kích thước của gói
tin phụ thuộc vào mạng cơ sở truyền tin, tức là đọ dài gói tin không thể vư
 quá MTU của môi trường truyền.
Time - to - live (thời gian sống): được dựng để ngăn việc các gói tin lặp vòng

trên mạng. Nó có vai trò như một bộ đếm ngược, tránh hiện tượng các gói tin đi quá
lâu trong mạng. Bất kì gói tin nào có thời gian sống bằng 0 thì gói tin đó sẽ bị bộ định
tuyến hủy bỏ và thông báo lỗi
 được gửi về trạm phát gói tin.
Protocol (giao thức): trường này được dựng để xác nhận giao thức tầng kế
tiếp mức cao hơn đang sử
 ng dịch vụ IP dưới dạng con số.
Header checksum: trường kiểm tra tổng header có độ dài 16 bit, được tính
toán trong tất cả các trường của tiêu đề IPv4. Một gói tin khi đi qua các bộ định tuyến
thì các trường trong phần tiêu đề có thể bị thay đổi, vì vậy trường này cần phải được
tính toán và cập nhập lại để đảm bảo độ
 n cậy của thông tin định tuyến.
Source Address - Destination Address (địa chỉ nguồn và địa chỉ đích): được
các bộ định tuyến và các gateway sử dụng để định tuyến các đơn vị số liệu, luôn luôn
đi cù
 với gói tin từ nguồn tới đích.
Option and Padding (tùy chọn và đệm): có độ dài thay đổi, dựng để thêm
thông tin chọn và chèn đầy đảm bảo số l
u bắt đầu trong phạm vi 32 bit.
1.3.1.3.
hân mảnh IP và hợp nhất dữ liệu
Giao thức IP khi thực hiện phải luôn có các thuật toán phân chia và hợp nhất dữ
liệu. Vì mỗi datagram đều được quy định một kích thước khung cho phép tối đa trên
SV: Phạm Quang Khải - Lớp: 09TM05ĐT
23