Mục lục
Danh sách hình ảnh xii
Danh sách bảng biểu xiv
1 TỔNG QUAN 1
1.1 Tính cấp thiết của đề tà i . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1.1 Bảo mật là yêu cầu cần thiết cho tổ chức, doanh nghiệp . . . 1
1.1.2 Chi phí đầu tư lớn cho giải pháp bảo mật . . . . . . . . . . . 1
1.1.3 Vấn đề bị động, phụ thuộc nhà cung cấp . . . . . . . . . . . . 2
1.1.4 Chủ trương, chính sách của Đảng và nhà nướ c . . . . . . . . . 3
1.1.5 Thực trạng công an tỉnh Hậu Giang . . . . . . . . . . . . . . 3
1.2 Mục đích nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3 Tình hình nghiên cứu trong và ngoài nước . . . . . . . . . . . . . . . 4
1.3.1 Trong nước . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.2 Ngoài nước . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.4 Khách thể và đối tượng nghiên cứu . . . . . . . . . . . . . . . . . . . 14
1.5 Phạm vi nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.6 Nhiệm vụ nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.7 Phương pháp nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.8 Những đóng góp mới của đề tài . . . . . . . . . . . . . . . . . . . . . 16
1.9 Cấu trúc đề tài . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2 CƠ SỞ LÝ THUYẾT 19
ix
2.1 Các nguy cơ xâm nhập dữ liệu khi truyền . . . . . . . . . . . . . . . 19
2.1.1 Xâm nhập thụ động . . . . . . . . . . . . . . . . . . . . . . . 19
2.1.2 Xâm nhập chủ động . . . . . . . . . . . . . . . . . . . . . . . 20
2.2 Công nghệ mật mã . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.2.1 Mật mã đối xứng . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.2.2 Mật mã bất đối xứng . . . . . . . . . . . . . . . . . . . . . . . 23
2.2.3 Hàm băm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.3 Kiểm tra nhận dạng . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.4 Xác thực . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

2.5 Cơ sở hạ tầng khóa công khai (PKI) . . . . . . . . . . . . . . . . . . 3 0
2.5.1 CA (Certificate Authority) . . . . . . . . . . . . . . . . . . . . 30
2.5.2 Chứng chỉ số (digital certificate) . . . . . . . . . . . . . . . . . 30
2.6 Mạng riêng ảo (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.6.1 IPSEC VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.6.2 OpenVPN (SSL VPN nguồn mở) . . . . . . . . . . . . . . . . 36
2.7 Smart Token (SafeNet iKey 103 2) . . . . . . . . . . . . . . . . . . . . 41
3 GIẢI PHÁP 44
3.1 Đặt vấn đề . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.2 Yêu cầu giải pháp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.3 Thiết kế mô hình giải pháp . . . . . . . . . . . . . . . . . . . . . . . 46
3.3.1 Cấp phát chứng chỉ số (2) . . . . . . . . . . . . . . . . . . . . 46
3.3.2 Quá trình tạo chữ ký số CA ( 1 ) . . . . . . . . . . . . . . . . . 50
3.3.3 Quá trình xác thực chứng chỉ số (5) . . . . . . . . . . . . . . . 50
3.3.4 Trao đổi khóa DH và tạo đường hầm bảo mật (6) . . . . . . . 51
3.4 Kiến trúc giải pháp . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.5 Ưu điểm và tính mới của giải pháp . . . . . . . . . . . . . . . . . . . 55
3.6 Phát triển giải pháp . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.6.1 Mô hình sản phẩm bảo mật tích hợp FVS . . . . . . . . . . . 55
3.6.2 Thiết kế phần cứng FVS . . . . . . . . . . . . . . . . . . . . . 56
x
3.6.3 Kiến trúc phần mềm . . . . . . . . . . . . . . . . . . . . . . . 56
3.7 Thiết kế mô hình hệ thống mạng VPN . . . . . . . . . . . . . . . . . 58
4 THỬ NGHIỆM HỆ THỐNG 60
4.1 Thử nghiệm trên hệ thống thực . . . . . . . . . . . . . . . . . . . . . 60
4.1.1 Cấu hình OpenVPN Server . . . . . . . . . . . . . . . . . . . . 60
4.1.2 Cấu hình OpenVPN client trên Linux . . . . . . . . . . . . . . 63
4.1.3 Cài đặt, cấu hình SafeNet iKey 10 32 . . . . . . . . . . . . . . 64
4.2 Kiểm tra tính xác thực của hệ thống . . . . . . . . . . . . . . . . . . 64
4.3 Thử nghiệm trên hệ thống ảo . . . . . . . . . . . . . . . . . . . . . . 65

4.3.1 Cấu hình địa chỉ IP . . . . . . . . . . . . . . . . . . . . . . . . 66
4.3.2 Kiểm tra tính bí mật của thông tin truyền . . . . . . . . . . . 68
4.4 Nhận xét, đánh giá kết quả thử nghiệm . . . . . . . . . . . . . . . . . 70
5 KẾT LUẬN 72
5.1 Các kết quả đã thực hiện được . . . . . . . . . . . . . . . . . . . . . . 72
5.2 Công việc tương lai . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
5.3 Đề xuất . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
5.4 Kết luận . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Tài liệu tham khảo 76
xi
Danh sách hình vẽ
1.1 Rủi ro bảo mật tăng trong thời kỳ thương mại điện tử . . . . . . . . 2
1.2 Bảo mật kết nối trong hệ thống ATM sử dụng công nghệ VPN . . . . 5
1.3 Mô hình Ipsec VPN của tác giả Trần Quốc Thư . . . . . . . . . . . . 6
1.4 Mô hình Ipsec VPN của tác giả Nguyễn Quốc Cường . . . . . . . . . 7
1.5 Mô hình Ipsec VPN của Cisco [1,2] . . . . . . . . . . . . . . . . . . . 10
1.6 Dữ liệu chưa mã hóa bảo mật Ipsec VPN Cisco . . . . . . . . . . . . 11
1.7 Dữ liệu đã mã hóa bảo mật Ipsec VPN Cisco . . . . . . . . . . . . . . 11
1.8 Mô hình SSL VPN của Cisco, [3] . . . . . . . . . . . . . . . . . . . . 12
1.9 Mô hình OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.10 Mô hình TFA trên Cisco . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.11 Mô hình thử nghiệm TFA trên Cisco . . . . . . . . . . . . . . . . . . 13
1.12 Mô hình Ipsec VPN nguồn mở . . . . . . . . . . . . . . . . . . . . . . 13
2.1 Các hình thức xâm nhập phổ biến . . . . . . . . . . . . . . . . . . . . 20
2.2 Giải thuật mã hóa đối xứng và bất đối xứng . . . . . . . . . . . . . . 22
2.3 Thuật toán Diffie-Hellman . . . . . . . . . . . . . . . . . . . . . . . . 24
2.4 Chữ ký số . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.5 Trao đổi dữ liệu sử dụng thuật toán RSA . . . . . . . . . . . . . . . . 27
2.6 HMAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.7 Chứng chỉ số X.509 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

2.8 Giao thức ESP và AH . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.9 Giao thức SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.10 Thủ tục bắt tay OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . 40
xii
3.1 Sự tấn công của hacker lên kênh truyền không an toàn . . . . . . . . 45
3.2 Mô hình giải pháp . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.3 Cơ chế hoạt động của giải pháp . . . . . . . . . . . . . . . . . . . . . 48
3.4 Quá trình cấp phát chứng chỉ số X.509 của CA . . . . . . . . . . . . 49
3.5 Quá trình tạo và xác thực chữ ký số của CA . . . . . . . . . . . . . . 50
3.6 Trao đổi khóa Diffie-Hellman . . . . . . . . . . . . . . . . . . . . . . 52
3.7 Các module chính của giải pháp . . . . . . . . . . . . . . . . . . . . . 53
3.8 Dòng dữ liệu đi từ client đến Server . . . . . . . . . . . . . . . . . . . 54
3.9 Phần cứng thiết bị FVS . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.10 Kiến tr úc phần mềm FVS . . . . . . . . . . . . . . . . . . . . . . . . 57
3.11 Sơ đồ hệ thống mạng VPN Công an tỉnh Hậu Giang . . . . . . . . . 59
4.1 Xây dựng CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.2 Tạo khóa Diffie-Hellman . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.3 Tạo khóa bí mật và chứng chỉ cho Server . . . . . . . . . . . . . . . . 63
4.4 Tạo khóa bí mật và chứng chỉ cho client . . . . . . . . . . . . . . . . 64
4.5 Cài đặt SafeNet iKey 1032 . . . . . . . . . . . . . . . . . . . . . . . . 65
4.6 Quá trình xác thực máy trạ m . . . . . . . . . . . . . . . . . . . . . . 66
4.7 Sơ đồ hệ thống thử nghiệm . . . . . . . . . . . . . . . . . . . . . . . . 67
4.8 Kết quả kiểm tra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.9 Dữ liệu bắt được khi chưa thiết lập tunnel OpenVPN . . . . . . . . . 69
4.10 Dữ liệu bắt được khi tunnel OpenVPN đã thiết lập . . . . . . . . . . 69
xiii
Danh sách bảng
3.1 Thông số cấu hình thiết bị FVS . . . . . . . . . . . . . . . . . . . . . 58
4.1 Kết quả thử nghiệm OpenVPN khi chưa thiết lập tunnel . . . . . . . 68
4.2 Kết quả thử nghiệm OpenVPN khi đã thiết lập tunnel . . . . . . . . 70

xiv
Chương 1
TỔNG QUAN
1.1 Tính cấp thiết của đề t ài
1.1.1 Bảo mật là yêu cầu cần thiết cho tổ chức, doanh nghiệp
Với sự phát triển của Internet và thương mại điện tử, nhu cầu truyền thông và thương
mại thông qua mạng Internet ngày càng gia tăng và nguy cơ mất an ninh, an toàn
thông tin, lộ lọt bí mật (thương mại, nhà nước ) sẽ ngày càng nghiêm trọ ng nếu
không có giải pháp phòng chống hữu hiệu vì không chỉ đơn thuần nhằm mục đích thu
thập thông tin bí mật, ngưng trệ hoạ t động mà còn mang mục đích kinh tế, chính
trị, bí mật thương mại, sở hữu trí tuệ, thậm chí trở thành những loại vũ khí nguy
hiểm có nguy cơ xâm phạm đến an ninh quốc gia. Vấn đề bảo mật thông tin bây
giờ đã trở thành một nhu cầu lớn và là yếu tố rất quan trọng đối với tổ chức, doanh
nghiệp. Biểu đồ 1.1 minh họa các rủi ro an ninh tăng lên khi một tổ chức mở rộng
hoạt động ra mạng Internet, thương mại điện tử.
1.1.2 Chi phí đầu tư lớn cho giải pháp bảo mật
Hiện nay hầu hết các tổ chức, doanh nghiệp sử dụng các sản phẩm an ninh nhập
khẩu từ nước ngoài trong giải pháp bảo mật của mình. Giải pháp này đòi hỏi phải
đầu tư chi phí lớn cho giải pháp bảo mật của mình.
Việc đầu tư một hệ thống bảo mật đồ sộ, kinh phí lớn với các nhà cung cấp giải
1





































!
"#$
%&$'$

Hình 1.1: Rủi ro bảo mật tăng trong thời kỳ thương mại điện tử
pháp bảo mật hàng đầu như Cisco, Checkpoint, Juniper là điều không thể với các
doanh nghiệp vừa và nhỏ mặc dù họ có nhu cầu lớn cho việc triển khai giải pháp bảo
mật cho tổ chức của mình.
1.1.3 Vấn đề bị động, phụ thuộc nhà cung cấp
Việc phụ thuộc vào nhà cung cấp có thể dẫn tới tình trạng bị ép buộc phải nâng
cấp phần mềm hay trang bị những tính năng mà người sử dụng không có nhu cầu sử
dụng đến Ngoài việc giá thành cao, những thiết bị này khiến chúng ta không thể
chủ động trong việc ứng dụng, ta hoàn toàn không biết các mô hình sử dụng cho cài
đặt cụ thể mà chỉ biết các ứng dụng do thiết bị cung cấp. Hơn nữa, các phần mềm
ứng dụng đa phần là các sản phẩm đóng gói, do đó việc nhúng các cơ chế bảo mật
do người dùng tạo ra vào hệ thống đó là hầu như không thể thực hiện được.
2
1.1.4 Chủ trương, chính sách của Đảng và nhà nước
Quyết định số 235/2004/QĐ-TTg về phê duyệt tổng thể “Ứng dụng và phát triển
phần mềm nguồn mở ở Việt Nam giai đoạn 2 004- 2008”.
Chỉ thị 07/2008/CT-BTTTT ngày 30 tháng 12 năm 2008 về đẩy mạnh sử dụng
phần mềm nguồn mở trong hoạt động cơ quan, tổ chức Nhà nước.
Quyết định số 1605/QĐ-TTg ngày 27 tháng 8 năm 2010 Chương trình quốc gia
về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước giai đoạn
2011 - 2015.
Chỉ thị 15/CT-TTg ngày 22 tháng 5 năm 2012 về việc tăng cường sử dụng văn
bản điện tử trong hoạt động của cơ quan nhà nước và đảm bảo an toàn thông tin
qua mạng.
Chỉ thị số 28-CT/TW, ngày 16-9-201 3 của Ban Bí thư Trung ương Đảng (khóa
XI) về tăng cường công tác bảo đảm an toàn thông tin mạng.
1.1.5 Thực trạng công an tỉnh Hậu Giang
Được thành lập vào tháng 01 năm 2004, gồm 01 Trung tâm chỉ huy và trên 30 phòng
ban, 07 công an huyện, thị, thành phố, 74 công an phường xã, thị trấn và được bố
trí đều trên địa bàn tỉnh Hậu Giang. Do mới thành lập, nên cơ sở vật chất, hạ tầng

viễn thông, hệ thống thông tin còn gặp nhiều khó khăn, chưa đáp ứng tốt theo yêu
cầu đặt ra. Trong khi đó còn một số cán bộ, đảng viên chưa nhận thức đúng về tầm
quan trọng và hiệu quả của việc ứng dụng công nghệ thông tin vào hoạt động công
tác, chưa thấy được tầm quan trọng của vấn đề bảo đảm an toàn thông tin và xem
nó là vấn đề sống còn của đất nước
Hiện nay trong Công an tỉnh Hậu Giang, việc trao đổi thông tin dữ liệu từ Công
an tỉnh xuống các huyện, thị, thành phố trên địa bàn và ngược lại đang thực hiện
bằng con đường giao liên hoặc Fax. Việc này tốn rất nhiều thời gian, chi phí và không
đảm bảo được độ an toàn và bảo mật thông tin. Hệ thống hiện tại vẫn còn nhiều mặt
3
hạn chế, mô hình kết nối mạng chỉ là kết nối mạng LAN ở phạm vi hẹp, thậm chí
ở một số phòng ban, huyện, thị, thành phố chưa có kết nối mạng, việc truyền nhận
thông tin dữ liệu chưa được mã hóa, chưa xây dựng giải pháp an ninh, chưa t hực
hiện phân cấp phân quyền, chưa đặt ra tính a n toà n và bảo mật thông tin
Để khắc phục thực trạng này, việc đưa ra một mô hình giải pháp bảo mật, mô
hình tương tự như các hệ thống bảo mật của các nhà cung cấp dịch vụ như Cisco,
Checkpoint, Juniper nhưng ở quy mô nhỏ hơn, phù hợp với điều kiện thực tế của
công an tỉnh. Do vậy em đã mạnh dạn chọn đề tài: “Nghiên cứu và triển khai giải
pháp bảo mật mạng VPN nguồn mở tại Công an tỉnh Hậu Giang”.
Nghiên cứu công nghệ mạng riêng ảo (VPN) là để bảo mật dữ liệu trên đường
truyền, nguồn mở (cung cấp dưới cả dạng mã và nguồn) là để có thể tùy biến, chủ
động trong việc ứng dụng như sửa đổi, cải tiến, phát triển hay nâng cấp.
1.2 Mục đích nghiên cứu
Nghiên cứu giải pháp xây dựng từng bước mạng riêng ảo trên cơ sở sử dụng công
nghệ nguồn mở OpenVPN sẵn có của cộng đồng cho việc bảo mật dữ liệu truyền trên
mạng.
1.3 Tình hình nghiên cứu tro ng và ngoài nước
1.3.1 Trong nước
(1) Các cơ quan, doanh nghiệp, trường học ở Việt Nam đã và đang nghiên cứu ứng
dụng và phát triển giải pháp bảo mật dữ liệu trên đường truyền dùng công nghệ VPN

phục vụ tốt trong hoạt động công tác của mình như Viễn thông VNPT, FPT, ngân
hàng Sacombank, Vietinbank dùng giải pháp VPN của Cisco; Bảo hiểm Bảo Việt
dùng giải pháp VPN của Juniper và một số tỉnh thành phố như Hà Nội, Đà Nẵng,
TP Hồ Chí Minh, TP Cần Thơ, Đồng Nai, Phú Yên, Long An Đặc biệt hệ thống
4
ATM của các ngân hàng (Vietinbank, BIDV, Agribank, MHB, Sacombank ) đều sử
dụng công nghệ mạng riêng ảo (VPN) để thực hiện các kết nối bảo mật của mình.
Quá trình kết nối bảo mật trong hệ thống ATM được minh họa cụ thể ở hình 1.2.
Theo cơ chế quản lý các giao dịch với ngân hàng qua thẻ ATM, nếu muốn rút được




Hình 1.2: Bảo mật kết nối trong hệ thống ATM sử dụng công nghệ VPN
tiền thì bắt buộc phải có đủ cả hai yếu tố thẻ ATM và mã số cá nhân (mã PIN). Đây
là một giải pháp xác thực người dùng hai yếu tố (cái mà bạn có (thẻ ATM) và cái
mà chỉ có bạn biết (mã PIN), nhưng ta có thể thấy việc xác thực người dùng bằng
mật khẩu hiện nay là không an toàn. Đây cũng là khẳng định của Bill Gate (chủ tịch
Microsoft) trong một hội thảo về an ninh mạng do hãng RSA t ổ chức vào tháng 2
năm 2004. Hiện nay không ít xảy ra các vụ việc khách hàng bị mất tiền trong tài tài
khoản tới hàng tỷ đồng mà không rõ nguyên do Điều này xảy ra là do hệ thống xác
thực trong ATM chưa đủ mạnh vì khi hacker đánh cắp thông tin (mã PIN, thông tin
cá nhân), sau đó làm giả thẻ ATM thì hacker có thể kết nối vào hệ thống để rút tiền.
Vậy yêu cầu đặt ra, xây dựng theo một lớp bảo mật nữa ngoài việc xác thực người
dùng hai yếu tố (Thẻ ATM + Mã PIN).
(2) Nghiên cứu về giải pháp bảo mật thông tin truyền trên mạng sử dụng công
nghệ VPN, được tác giả tác giả Trần Quốc Thư (Luận văn thạc sĩ năm 2013, Học
viện công nghệ Bưu chính Viễn Thông), minh họa ở hình 1.3 và Nguyễn Quốc Cường
(Luận văn thạc sĩ năm 2011, Học viện công nghệ Bưu chính Viễn Thông), minh họa
ở hình 1.4. Tác giả đã triển khai công nghệ Ipsec VPN để tạo nối bảo mật từ xa.

5
Hình 1.3: Mô hình Ipsec VPN của tác giả Trần Quốc Thư
Các giải pháp trên đều dùng giải pháp bảo mật của các nhà cung cấp, chi phí đầu
tư lớn, phụ thuộc hoàn toàn vào công nghệ, chưa tự phát triển giải pháp riêng. Hơn
nữa, phương pháp xác thực trong giải pháp này chỉ có một yếu tố và ta không thể
nhúng thêm các cơ chế bảo mật vào hệ thống.
1.3.2 Ngoài nước
Trong những năm gần đây, không ít các nghiên cứu ứng dụng giải pháp bảo mật VPN
đã được đề xuất. Trong các bài báo [4–6], tác giả đã đề xuất giải pháp ứng dụng công
nghệ VPN trong việc xây dựng hệ t hống mạng truyền dữ liệu một cách hiệu quả và
an toàn cho các trường cao đẳng và đại học. Nó có thể cung cấp các chức năng đáng
6

Hình 1.4: Mô hình Ipsec VPN của tác giả Nguyễn Quốc Cường
tin cậy cho việc truy cập từ xa cho các giáo viên, sinh viên, chi nhánh của trường
và giữa các trường với nhau Giải pháp trao đổi dữ liệu an toàn, nhanh chóng, hiệu
quả trong cơ quan chính phủ nhằm bảo mật các dữ liệu liên quan đến an ninh quốc
gia dựa trên công nghệ VPN cũng được nêu trong [7].
Các nghiên cứu [1, 2, 8], tác giả đã dùng IPSEC trong giải pháp bảo mật VPN.
Trong [1, 2], tác giả đã trình bày việc triển khai IPSEC cho mục đích trao đổi dữ
liệu an toàn trong môi trường mạng không an toàn như Internet. Việc nghiên cứu
xây dựng một hệ thống mạng truyền dữ liệu an toàn trong các trường đại học dùng
IPSEC được đề xuất tại [8].
Việc dùng SSL trong giải pháp bảo mật VPN qua các nghiên cứu [3, 9–13]. Tác
giả trong [3,9,11] nghiên cứu và triển khai một Gateway bảo mật VPN dựa trên giao
thức bảo mật SSL. Gateway bảo mật này có thể chống lại một số cuộc tấn công phổ
biến như giám sát, thu thập, chỉnh sửa, gián đoạn dữ liệu trên đường truyền SSL
VPN sử dụng một chuỗi các kỹ thuật mật mã, bao gồm mã hóa đối xứng, mã hóa
7
bất đối xứng, chữ ký số, chứng thực số, cũng như các giải thuật băm (message digest

algorithm) để đảm bảo các đặc tính bí mật, xác thực và toà n vẹn dữ liệu. Việc đảm
bảo an toàn cho việc truy cập từ xa trong mạng không dây là một vấn đề đặc biệt
quan tâm hiện nay, thiết kế và triển khai một hệ thống mạng không dây truy cập an
toàn dựa trên g ia o thức SSL được t á c giả đề xuất trong [10,12]. Trong [13], tác giả đã
nghiên cứu các ưu điểm và triển khai giải pháp bảo mật SSL VPN trong các trường
đại học, đảm bảo an toàn dữ liệu trong quá trình trao đổi
Chính sách lựa chọn giải pháp bảo mật VPN dựa trên công nghệ IPSEC và SSL
được đưa ra trong [14–16]. Trong [15] tác giả đã nghiên cứu sự khác biệt giữa hai
công nghệ IPSEC VPN và SSL VPN và các tiêu chuẩn được đưa ra để quyết định
chính xác công nghệ nào sẽ phù hợp hơn với nhu cầu bảo mật cho ứng dụng thực tế
là mã hóa, xác thực và toàn vẹn dữ liệu, tường lửa, IP Public, NAT, Port, điều khiển
truy cập Việc phân tích, so sánh các ưu khuyết điểm giữa hai công nghệ IPSEC
VPN và SSL VPN cũng được nghiên cứu trong [14,16], trong đó tác giả đã phân tích
các đặc tính an toàn hai công nghệ này (xác thực, mã hóa, toàn vẹn dữ liệu). Hơn
nữa, các bài viết này đã giới thiệu chi tiết về các nguyên tắc làm việc, cơ chế bảo mật
của SSL VPN và IPSec VPN, sau đó phân tích những lợi thế và bất lợi (phạm vi ứng
dụng, cơ chế bảo mật, sự phức tạp trong hoạt động, chi phí triển khai, khả năng mở
rộng và các khía cạnh khác ) và cuối cùng tác giả đã đưa ra chính sách lựa chọn
tham khảo cho giải pháp bảo mật VPN phù hợp với ứng dụng thực tế.
Giải pháp bảo mật VPN nguồn mở được giới thiệu trong [17–20]. Có hai vấn đề
chính trong công nghệ VPN, đó là vấn đề an toàn và tính tiện lợi khác (chi phí thấp,
dễ cài đặt và sử dụng ). Hiện nay có nhiều giải pháp VPN nhưng đa số chỉ đáp ứng
được một trong hai vấn đề trên. IPSEC triển khai khó khăn (khó cài đặt và sử dụng,
chi phí cao) nhưng đáp ứng được vấn đề an ninh. Tuy nhiên, cấu trúc phức tạp của
nó đã làm cho nó dễ bị tấn công, lỗi, và lỗ hổng bảo mật. Giải pháp OpenVPN cung
cấp một sự pha trộn lý tưởng của cả hai vấn đề trên.
Trong [20] tác giả đã phân tích đặc tính an toàn OpenVPN (bảo mật, toàn vẹn
8
dữ liệu, xác thực ), những thuận lợi và một số điểm yếu trong OpenVPN như thuận
lợi về vấn đề an toàn, thuận tiện trong triển khai, chi phí thấp nhưng điểm yếu là

không tương thích với IPSEC VPN, ít người biết cách sử dụng, không có giao diện đồ
họa thân thiện Bên cạnh đó, tác giả đã phân tích so sánh OpenVPN với giả i pháp
IPSEC VPN về vấn đề bảo mật, khả năng sử dụng, mở rộng và triển khai
Nghiên cứu và triển khai giải pháp bảo mật OpenVPN trên hệ điều hành nguồn mở
Linux (Ubuntu, Android), trong đó thiết lập OpenVPN trên hệ điều hành Ubuntu làm
Gateway (OpenVPN Server) và OpenVPN trên hệ điều hành Android (làm OpenVPN
Client) được tác giả đề xuất trong [18,19]. Trong bài báo này, tác giả đã phân tích
vấn đề an toà n và hiệu suất mạng OpenVPN chạy hệ điều hành Android trên máy
tính bảng và các thông số cấu hình OpenVPN
Tác giả trong [17, 21] đã đề xuất một giải pháp bảo mật VPN nguồn mở dùng
IPSEC để đảm bảo an toàn dữ liệu t rong khi truyền. Trong [21] công nghệ IPSEC
VPN nguồn mở được triển khai dựa trên phần mềm Frees/WAN dưới hệ nhúng Linux.
Vì tính chất đặc thù của sản phẩm bảo mật, tác giả cũng đã gợi ý hướng phát triển
của bài báo là phát triển giải pháp bảo mật IPSEC VPN nguồn mở thành sản phẩm
bảo mật VPN phục vụ cho các ứng dụng cụ thể, đáp ứng được nhu cầu sử dụng riêng
cho từng cơ quan, doanh nghiệp. Trong [17] tác giả đã giới thiệu công nghệ IPSEC
VPN nguồn mở được triển khai dựa trên phần mềm OpenSwan dưới hệ nhúng Linux.
Thiết kế và triển khai thiết bị an ninh với một Firewall thế hệ mới dựa trên
Netfilter được thể hiện qua [22, 23]. Giải pháp này dựa trên công nghệ nhúng và
Firewall nguồn mở Linux, giúp tăng cường an ninh mạng LAN, ngăn chặn các cuộc
tấn công có thể, kiểm soát lưu lượng của mỗi máy chủ và đồng thời tiết kiệm chi phí
triển khai, thích hợp cho các doanh nghiệp nhỏ vừa, vốn đầu tư kém.
Trong các bài báo [1–3], tác giả đã nghiên cứu giải pháp bảo mật dữ liệu trên
đường truyền dùng công nghệ Ipsec VPN ( [1,2], minh họa cụ thể ở hình 1.5, 1.6,
1.7), công nghệ SSL ( [3], minh họa cụ thể ở hình 1.8) trên giải pháp bảo mật của
Cisco, chi phí đầu tư cao. Phương pháp xác thực trong giải pháp này chỉ có một yếu
9
Hình 1.5: Mô hình Ipsec VPN của Cisco [1 , 2]
tố và ta không thể nhúng thêm các cơ chế bảo mật vào hệ thống.
Tác giả trong các bài báo [18,19, 24] dùng công nghệ OpenVPN để bảo mật dữ

liệu trên đường truyền. Trong các bài báo này, tác giả chỉ triển khai trên mô hình
mạng Host-to-Host và phương pháp xác thực chỉ một yếu tố, không kết hợp với phần
cứng bảo mật thông minh Smart Token để tăng cường tính bảo mật, minh họa cụ
thể ở hình 1.9.
Tác giả trong các bài báo [25,26] đã đề xuất giải pháp bảo mật dữ liệu trên đường
truyền dùng công nghệ Ipsec với phương pháp xác thực hai yếu t ố. Nhưng các tác
giả đã triển khai giải pháp trên thiết bị của Cisco, chi phí đầu tư cao, phụ thuộc vào
công nghệ, minh họa cụ thể ở hình 1.10, 1.11.
Giải pháp nghiên cứu Ipsec VPN nguồn mở (FreeSwan) tr o ng bài báo [21] cho
việc bảo mật dữ liệu trên đường truyền, giải pháp này cấu hình cài đặt khó khăn
và phức tạp nếu các site (mạng LAN chi nhánh từ xa) tăng lên. Hơn nữa, giải pháp
này xác thực bằng phương pháp khóa chia sẽ trước RSA (pre-shared key) có mức độ
an toàn thấp hơn phương pháp xác thực bằng chứng chỉ số. Thêm vào đó, giải pháp
này chỉ xác thực bảo mật một yếu tố (khóa RSA) và không thể mở rộng và bổ sung
thêm yếu tố xác thực để tăng cường tính bảo mật của hệ thống. Các kết quả nghiên
10
Hình 1.6: Dữ liệu chưa mã hóa bảo mật Ipsec VPN Cisco
Hình 1.7: Dữ liệu đã mã hóa bảo mật Ipsec VPN Cisco
11
SSL VPN products.
Figure 3. Solution of SSL VPN
Hình 1.8: Mô hình SSL VPN của Cisco, [3]
Hình 1.9: Mô hình OpenVPN



Figure 1. Components of TFAS system
Hình 1.10: Mô hình TFA trên Cisco
12









Figure 3. Simulation with GNS3
Hình 1.11: Mô hình thử nghiệm TFA trên Cisco
Hình 1.12: Mô hình Ipsec VPN nguồn mở
cứu trong [14, 15] cũng đã chứng minh rằng Ipsec VPN phức tạp trong triển khai và
hoạt động và đây là nguyên nhân dễ gây ra lỗ hỏng bảo mật hơn giải pháp SSL VPN,
minh họa ở hình 1.12
Trong các kết quả nghiên cứu trên, hầu hết dùng giải pháp bảo mật từ các sản
phẩm của nước ngoài như Cisco, Checkpoint, Juniper và có sẵn các công cụ phần
mềm thử nghiệm do nhà sản xuất cung cấp. Không chỉ là giảm sự chủ động trong
việc ứng dụng (phụ thuộc hoàn t oàn và công nghệ nhà cung cấp, việc nhúng các cơ
chế bảo mật do người dùng tạo ra vào hệ thống là điều không thể thực hiện được)
mà đòi hỏi đầu tư chi phí cao và là điều không thể đối với các doanh nghiệp vừa và
nhỏ.
Trên cơ sở phân tích, tổng hợp các kết quả ứng dụng, nghiên cứu trên. Để các tổ
13
chức, doanh nghiệp nhỏ và vừa có khả năng triển khai giải pháp bảo mật phù hợp
với nhu cầu và ứng dụng của mình, vừa tiết kiệm chi phí vừa chủ động trong việc
ứng dụng cũng. Nhiệm vụ nghiên cứu của đề tài sẽ từng bước xây dựng mạng VPN
dựa trên công nghệ nguồn mở OpenVPN. Giải pháp này vừa tiết kiệm chi phí, vừa có
thể tùy biến trong việc nhúng thêm các cơ chế bảo mật do người dùng tạo ra (nhúng
thêm công nghệ bảo mật Smart Token vào hệ thống để tăng cường bảo mật). Đồng
thời phát triển giải pháp thành sản phẩm bảo mật VPN, một giải pháp giúp chúng
ta hoàn toàn có thể chủ động trong việc ứng dụng cũng như kiểm soát bảo mật trước

tình hình tội phạm công nghệ cao, tội phạm gián điệp diễn biến phức tạp như hiện
nay.
Những kết quả nghiên cứu có liên quan trên giúp cho em tham khảo, kế thừa ý
tưởng, nội dung và phương pháp trong quá trình nghiên cứu đề tài. Giải pháp bảo
mật đề tài nghiên cứu là giải pháp tự phát triển. Do sử dụng công nghệ mở nên dễ
dàng nhúng thêm các cơ chế bảo mật vào hệ thống do người dùng tạo ra và chủ động
sở hữu phần mềm bảo mật trên cơ sở chỉnh sửa mã và nguồn công nghệ mở sẵn có
cho phù hợ p với ứng dụng thực tế.
Cho đến nay chưa có một công trình khoa học nào nghiên cứu và triển khai giải
pháp bảo mật mạng VPN nguồn mở tại Công an tỉnh Hậu Giang.
1.4 Khách thể và đối tượng nghiên cứu
Đối tượng: Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở
tại Công an tỉnh Hậu Giang.
Khách thể: Mạng VPN nguồn mở tại Công an tỉnh Hậu Giang.
14
1.5 Phạm vi nghiên cứu
Trong phạm vi nghiên cứu đề tài em chỉ tập trung nghiên cứu giả i pháp xây dựng
từng bước mạng riêng ảo dựa trên công nghệ nguồn mở OpenVPN cho việc bảo vệ
thông tin truyền trên mạng.
1.6 Nhiệm vụ nghiên cứu
Nghiên cứu các nguy cơ mất an ninh trong quá trình trao đổi thông tin dữ liệu
qua mạng.
Nghiên cứu về công nghệ mật mã, công nghệ bảo mật dùng trong VPN.
Nghiên cứu giải pháp bảo mật dữ liệu trên đường truyền dùng công nghệ mạng
riêng ảo nguồn mở OpenVPN và công nghệ bảo mật Smart Token (SafeNet iKey
1032).
Đánh giá thực trạng về sự cần thiết của việc nghiên cứu đề xuất giải pháp bảo
mật riêng, mang tính đặc thù của lĩnh vực an ninh khi triển khai một mạng
truyền dữ liệu an toàn trong nội bộ công an tỉnh.
Đề xuất phát triển giải pháp thành sản phẩm bảo mật tích hợp FVS (MultiSafe

VPN Firewall) bao gồm giải pháp VPN, Firewall và có thể tích hợp các giải pháp
bảo mật mở rộng khác như IDS/IPS (Intrusion Detection/Prevention System).
Đề xuất mô hình hệ thống mạng truyền dữ liệu cho Công an tỉnh trên cơ sở
thực trạng và giải pháp bảo mật đề xuất.
Mô hình hóa và mô phỏng hệ thống mạng VPN đã đề xuất.
15
1.7 Phương pháp nghiên cứu
Phân tích và tổng hợp lý thuyết, kinh nghiệm thực tiễn và các bài báo khoa
học được công bố trên thư viện số IEEE Xplore, ACM về lĩnh vực viễn thông,
khoa học máy tính ; các luận văn, công trình nghiên cứu, tạp chí, sách khoa
học chuyên ngành
Phương pháp chuyên gia, mô hình hóa và mô phỏng.
Các phương pháp hỗ trợ khác như sử dụng các công cụ phần mềm giả lập, mô
phỏng, phân tích và bắt gói tin như VMWARE, NetCat, Tcpdump, WireShark,
OpenVPN, Openswan, hệ điều hành nhúng Linux, Unix, phần cứng thiết bị bảo
mật Smart Token (Saf eNet iKey 1032).
1.8 Những đóng góp mới của đề tài
Góp phần giảm dần gánh nặng chi phí đầu tư và phụ thuộc vào công nghệ nhà cung
cấp khi các tổ chức, doanh nghiệp triển khai một giải pháp bảo mật, đặc biệt là đối
với Công an tỉnh Hậu Gia ng.
Góp phần từng bước hình thành và phát triển tiềm lực công nghệ thông tin -
truyền thông trong nước tới một mức độ đủ mạnh, đủ để ta làm chủ công nghệ, đủ
điều kiện tiếp nhận lợi ích thực sự mà lĩnh vực công nghệ cao này đem lại cho đất
nước. Tạo cơ hội phát triển các sản phẩm trong nước, giảm dần tình trạng nước ta
phải mua các sản phẩm phần mềm của nước ngoài với chi phí khá cao, là gánh năng
đáng kể cho nền kinh tế còn non yếu.
Bước đầu trong giải pháp chỉ sở hữu được phần mềm mạng riêng ảo được tích
hợp trên phần cứng chuyên dụng. Nếu được triển khai cho Công an Hậu Giang sẽ
góp phần nâng cao hiệu quả hoạt động công tác, giúp cho việc trao đổi thông tin
giữa Trung tâm chỉ huy và các đơn vị trực thuộc (các phòng ban, công an huyện, thị,

thành phố trên địa bàn) được an toàn, bảo mật, nhanh chóng, kịp thời, giảm khối
16
lượng công việc, tạo nên một môi trường làm việc điện tử hiện đại, minh bạch, tiết
kiệm thời gian, chi phí hành chính (giấy tờ, mực in ). Đồng thời cũng quán triệt,
thực hiện tốt theo các nghị quyết, chỉ thị của Đảng, Nhà nước và Bộ Công an về việc
ứng dụng và phát triển công nghệ thông tin, sử dụng phần mềm nguồn mở trong cơ
quan nhà nước và đảm bảo an ninh, an toàn thông tin qua mạng, phù hợp với nhu
cầu ứng dụng hiện tại, tạ o môi trường làm việc điện tử hiện đại, an toàn, bảo mật,
giảm giấy tờ, tiết kiệm nguồn nhân lực, chi phí và thời gian, nâng cao hiệu quả hoạt
động công tác trong Công an Hậu Giang.
Giải pháp giúp nâng cao nhận thức của cán bộ, chiến sĩ Công an Hậu Giang về
tầm quan trọng của việc ứng dụng, phát triển công nghệ thông tin trong hoạt động
công tác và đảm bảo an toàn thông tin qua mạng để công an tỉnh cần có những quyết
sách và đầu tư thích hợp cho việc triển khai các chiến lược bảo mật trong thực tế.
Mỗi quốc gia, mỗi tổ chức khi lưu trữ, xử lý và trao đổi thông tin rất cần các
chuẩn mực riêng, đặc thù. Nếu phải sử dụng phần mềm độc quyền cho chuẩn xử lý
và lưu trữ dữ liệu riêng thì quả là bất cập. Đề tài này góp phần từng bước biến cái
chung sẵn có thành cái riêng mang tính đặc thù của một quốc gia, tổ chức, doanh
nghiệp trên cơ sở ứng dụng công nghệ mở sẵn có của cộng đồng.
1.9 Cấu trúc đề tài
Ngoài phần danh mục tà i liệu tham khảo, nội dung của đề tài gồm 5 chương.
Chương 2, trình bày cơ sở lý t huyết cho hướng nghiên cứu như công nghệ mật
mã, các công cụ mật mã, công nghệ VPN
Chương 3, Trình bày giải pháp bảo mật dữ liệu trên đường đường truyền dùng
công nghệ OpenVPN nguồn mở kết hợp với công nghệ bảo mật tiên tiến USB Smart
Token (SafeNet iKey 1032). Phân tích, đánh giá so sánh với các kết quả nghiên cứu
khác liên quan từ các bài báo trên thư viện số IEEE Xplore, ACM; các luận vă n
nghiên cứu liên quan
17
Chương 4, Thử nghiệm mô hình giải pháp.

Chương 5, Kết luận và hướng phát triển giải pháp.
18
Chương 2
CƠ SỞ LÝ THUYẾT
2.1 Các nguy cơ xâm n hập dữ liệu khi truyền
Để bảo vệ an toàn thông tin dữ liệu trên đường truyền có hiệu quả thì điều trước
tiên là phải lường trước hoặc dự đoán trước các khả năng xâm phạm, các sự cố rủi ro
có thể xảy ra đối với thông tin dữ liệu được trao đổi trên đường truyền tin cũng như
trên mạng. Xác định các chính xác các nguy cơ nói trên thì càng quyết định được tốt
các giải pháp để giảm thiểu các thiệt hại, [27, 28].
2.1.1 Xâm nhập thụ động
Xâm nhập thụ động nhằm mục đích cuối cùng là lấy được thông tin trên đường truyền
như nghe trộm (eavesdropping), theo dõi (monitoring), phân tích, thu giữ thông tin
trao đổi. Loại xâm nhập này không làm ảnh hưởng (sai lệch hoặc hủy) đến tài nguyên
hệ thống .
Trong trường hợp này Hacker chặn các thông điệp A gửi cho B, và xem được nội
dung của thông điệp, phân tích dòng thông tin, có thể xác định vị trí của các máy
tham gia vào quá trình truyền tin, giám sát tần suất và kích thước thông điệp, ngay
cả việc mã hóa để suy đoán được nội dung thông điệp truyền Tác nhân của các
hành vi xâm nhập này có thể là một người, một phần mềm hay một máy tính làm
19