Chuyên ngành Viễn thông
Ipsec và qos cho mpls-vpn
Trong hệ thống truyền thông ngày nay, các loại dữ liệu đợc tổ chức lu trữ nhằm mục đích làm sao để
nhiều ngời cùng sử dụng chung tài nguyên thông tin nh các thiết bị đầu cuối, đờng truyền, các chơng
trình phần mềmTheo yêu cầu đó, việc kết nối mạng là một nhu cầu cấp thiết và tất yếu. Bởi thế, khi
mạng Internet ra đời đ đáp ứng đã ợc phần nào nhu cầu ngời dùng và trở thành xu hớng phát triển của
thế giới ngày nay. Nhng cũng từ đó đ nảy sinh một số vấn đề khi mà một ngã ời dùng muốn biết thông
tin của ngời khác. Họ sẽ tìm cách để có đợc thông tin mà mình muốn biết chẳng hạn nh nghe trộm,
thăm dò. Cũng có thể, họ sẽ giả mạo địa chỉ của một ngời để mà truyền tin tới cho ngời khác trong khi
địa chỉ thực sự của họ thì không phải nh vậy hay thậm chí họ sẽ phá huỷ thông tin và do đó thông tin
không thể nào đến tay ngời nhận. Đối với ngời dùng thì việc thông tin không đến tay mình do bị phá
huỷ, thông tin bị nghe trộm làm mất tính riêng t và có thể làm tổn thơng ngời dùngĐối với một tổ
chức, cơ quan thì những việc đó chẳng những làm mất tính riêng t mà còn gây những tổn thất lớn vì
không bảo toàn thông tin một cách cẩn mật. Ngay nh các cơ quan của bộ quốc phòng, nơi mà thông
tin đợc bảo vệ một cách cẩn mật cũng không tránh khỏi việc rò gỉ. Bởi thế vần đề bảo mật là một vấn
đề cần quan tâm một cách có đầu t trong thời đại ngày nay. Trong thiết kế ban đầu của mạng Internet,
vấn đề an toàn đ không đã ợc quan tâm một cách đúng mức nên đ gây ra một lỗ hổng rất lớn cho anã
toàn dữ liệu. Chỉ cần với kiến thức mạng cơ bản thì một ngời dùng cũng có thể gây tổn thơng đến nó
Trong thời gian gần đây, các công ty, doanh nghiệp đặc biệt là các công ty đa quốc gia có nhu cầu
rất lớn về loại hình dịch vụ mạng riêng ảo (VPN) là một trong những ứng dụng rất quan trọng trong
mạng IP. Cũng do nhu cầu ngày càng tăng về số lợng ngời dùng mà mỗi ngời dùng lại có những yêu
cầu nhất định cho một loại hình dịch vụ nào đó nên khi thiết kế mạng thì nhà thiết kế cần phải quan
tâm đến chất lợng dịch vụ (QoS) do mạng cung cấp. Để tăng cờng an toàn cho mạng Internet (dựa
theo giao thức IPv4), giao thức IPsec đ ra đời . Đối với mạng riêng ảo, MPLS là một công nghệ rấtã
phù hợp do có đặc tính quan trọng cung cấp chất lợng dịch vụ mà bảo mật là một chỉ tiêu đánh giá
chất lợng dịch vụ. Chính vì thế mà nhóm chủ trì đề tài đ đi vào nghiên cứu bảo mật IPsec và QoS choã
MPLS VPN.
1. Tổng quan IPsec
1.1
Các nguy cơ an toàn mạng
1.1.1 Làm giả IP (IP Spooling)

Máy B giả mạo địa chỉ của một máy C để gửi thông tin tới máy A mà về phía máy A lại cho rằng máy C
đ gửi thông tin. Điều này gây ra tấn công từ chối dịch vụ(DOS).ã
1.1.2 Đánh cớp (Hijacking):
Đánh cớp phiên làm việc giữa hai máy tính bởi máy thứ ba .
1.1.3 Thăm dò (Packet Sniffing):
Thờng do các nhà quản trị mạng sử dụng để chuẩn đoán những tồn tại của hệ thống.
1.2 Giới thiệu giao thức IPsec
Là một bộ giao thức dùng để bảo vệ truyền thông riêng t trên Internet.
Học viện Công nghệ BC - VT
Tuyển tập đề tài nghiên cứu khoa học HS-SV
IPsec mang lại khả năng liên tác cho các thiết bị mạng, PC và những hệ thống điện toán khác nhau.
IPsec có thể đợc dùng bởi những ngời dùng từ xa.
Ngời dùng triển khai IPsec để bảo mật cơ sở hạ tầng mà không làm ảnh hởng đến các ứng dụng trên
máy riêng lẻ. Nó thực hiện đóng gói dữ liệu trong một gói mới có chứa thông tin cần thiết để thiết lập,
duy trì và huỷ bỏ kênh truyền khi không dùng đến nữa.
IPsec cung cấp các dịch vụ cho cả IPv4 và IPv6 nhng cách nó cung cấp là khác nhau cho mỗi giao
thức. Đối với IPv4 thì IPsec chỉ là một tuỳ chọn nhng với IPv6 thì IPsec đợc tích hợp vào và là giao thức
an toàn chính. IPsec có thể đảm bảo an toàn cho các dịch vụ phổ biến nhất hiện nay trên mạng
Internet nh: FTP, E-mail, Web
IPsec làm giảm nguy cơ tắc nghẽn mạng do sử dụng các thuật toán m hoá hiện đại đồng thời có cảã
kiểm tra tính toàn vẹn dữ liệu. IPsec cung cấp các dịch vụ an toàn ở lớp IP.
1.2.1 Liên kết an toàn (SA)
Là một khái niện cơ bản của IPsec và đợc nhận dạng bởi bộ ba: SPI, địa chỉ đích IP, giao thức an toàn
(AH,ESP). IPsec duy trì hai cơ sở dữ liệu liên quan đến SA: SAD, SPD. Các SA có thể kết hợp theo hai
con đờng: Liền kề giao vận và lặp lại đờng hầm.
1.2.2 Tunneling
Một kỹ thuật chung trong mạng chuyển mạch gói mà thể hiện sự bao gói trong một gói mới và thêm
một tiêu đề mới vào gói gốc. Có hai kiểu đờng hầm đợc trình bày ở đây là đờng hầm tự động và đờng
hầm đ định hình.ã
1.2.2.1 Đờng hầm tự động

1.2.2.2 Đờng hầm đã định hình
1.2.3 Tiêu đề xác thực (AH)
AH đợc sử dụng để cung cấp tính toàn vẹn và xác thực cho IP datagram. AH đợc nhận biết với số giao
thức 51 đ đã ợc ấn định bởi IANA.
1.2.3.1 Cấu trúc AH
Bao gồm nhiều trờng: SPI, Next Header, Sequence Number trong đó có trờng dữ liệu xác thực (hay
còn gọi là ICV) đợc tính bằng cách sử dụng thuật toán MD5 dùng để xác thực gói.
1.2.3.2 ứng dụng
Có hai phơng thức mà AH dợc áp dụng trong đó là: phơng thức truyền tải và phơng thức đờng hầm.
Tuỳ theo phơng thức nào đợc áp dụng mà vị trí AH header trong Datagram là khác nhau.
1.2.4 Đóng gói dữ liệu an toàn (ESP)
ESP đợc dùng để m hoá các IP Datagram nhã ng cũng có thể thực hiện xác thực và kiểm tra tính toàn
vẹn. ESP đợc nhận dạng bởi giao thức số 50.
1.2.4.1 Cấu trúc
Học viện Công nghệ BC - VT
Chuyên ngành Viễn thông
ESP cũng có nhiều trờng mà có độ dài khác nhau. Trong ESP có trờng dữ liệu tải tin là bắt buộc và đ-
ợc m hoá cùng với thuật tón đ chọn trong quá trình thiết lập SA, thông thã ã ờng thì nó là thuật toán DES
CBC, đôi khi cũng có thể dùng 3DES, CDMF.
Khi dùng để xác thực dữ liệu thì có thêm trờng dữ liệu xác thực với hai thuật toán xác thực là: HMAC
MD5 và HMAC SHA 1.
1.2.4.2 ứng dụng
ESP đợc áp dụng trong hai phơng thức nh AH là phơng thức truyền tải và phơng thức đờng hầm. Cũng
tuỳ vào phơng thức áp dụng mà vị trí ESP là khác nhau trong Datagram.
1.2.5 Phối hợp các giao thức
Hai cơ chế AH và ESP có thể kết hợp nhau và tạo ra bó SA. Việc truyền thông giữa hai Host có thể đ-
ợc bảo vệ qua các loại hình:
Bảo mật từ đầu tới cuối (end to end)
Hỗ trợ VPN cơ bản
Bảo mật từ đầu tới cuối hỗ trợ VPN

Truy nhập từ xa
1.2.6 Trao đổi khoá (IKE)
Kiểm tra tính xác thực của mỗi phía trong giao dịch IPsec, đảm nhận công việc thơng thảo về chính
sách bảo mật xác định thuật toán đợc dùng để thiết lập kênh truyền, trao đổi khoá cho mỗi phiên kết
nối, dùng trong mỗi phiên truy cập.
2. Các hệ mật mã
2.1 tổng quan
Các hệ mật m có thể chia thành hai loại là hệ mật khoá bí mật (điển hình là DES) và hệ mật khoáã
công khai (điển hình là RSA).
Hệ mật khoá bí mật sử dụng cùng một khoá cho giải m và lập m trong khi hệ mật khoá công khai sửã ã
dụng hai khoá khác nhau cho lập m và giải m .ã ã
2,2 Khái niệm hệ mật
2.2.1 Hệ mật chuẩn DES
Đợc văn phòng tiêu chuẩn Mỹ công bố năm 1977 để sử dụng trong cơ quan chính phủ liên bang. Giải
thuật m hoá đã ợc phát triển tại công ty IBM dựa trên mật m LUCIFER của Feistel.ã
2.2.2 Hệ mật RSA
Hệ mật này đợc Rivest, Shamir, Adleman đa ra vào năm 1977. Độ bảo mật của RSA dựa trên độ khó
của bài toán phân tích ra các thừa số nguyên tố của một số nguyên lớn.
3. IPsec và MPLS
Học viện Công nghệ BC - VT
Tuyển tập đề tài nghiên cứu khoa học HS-SV
3.1 MPLS - VPN
Có hai mô hình tiêu biểu cho VPN là mô hình Overlay và mô hình ngang cấp.
3.2 IPsec trong MPLS
Giải pháp mạng VPN đứng trên khía cạnh bảo mật xây dựng dựa trên BGP/MPLS có thể đạt đợc mức
độ bảo mật tơng đơng giải pháp mạng VPN xây dựng trên công nghệ ATM hoặc Frame Relay. Hệ
thống m hoá công khai và bí mật cho phép các thông tin IP đã ợc chuyển trên các đờng hầm của
MPLS(L2- tunnel). Các ứng dụng phần mềm hiện nay sử dụng IPsec có thể chạy trên nhiều nền tảng
khác nhau với các loại cấu hình điểm - điểm, điểm - đa điểm. Phần lớn các ứng dụng đều xử lý tại lớp 3
(IP) và một số phơng pháp SSL và SSH đang sử dụng đều có khả năng triển khai rộng r i tại lớp caoã

đem lại thuận tiện cho ngời sử dụng.
3.3 QoS cho MPLS-VPN
MPLS không định nghĩa một kiến trúc mới QoS. Cơ cấu trên MPLS QoS đợc hội tụ trong hỗ trợ kiến
trúc IP QoS. Có hai kiến truc QoS đ định nghĩa cho IP QoS:ã
IntServ (Integrate Service)
DiffServ(Different Service)
Mỗi VPN QoS đạt đợc bởi triển khai chính sách lối vào QoS khác nhau cho VPN khác nhau.
4. Kết luận:
Đề tài đ đề cập đến một số khía cạnh cơ bản nhất của IPsec và chật lã ợng dịch vụ cho MPLS VPN.
Tìm hiểu một số thuật toán m hoá dùng cho IPsec và xây dựng đã ợc một chơng trình thực hiện m hoáã
và giải m theo thuật toán DES m hoá khoá bí mật. Tuy nhiên, do nhiều nguyên nhân mà đề tài vẫnã ã
cha trình bày kỹ về IPsec cũng nh về QoS cho MPLS-VPN, giao diện chơng trình vẫn cha đẹpKính
mong nhận đợc sự góp ý của thầy cô và các bạn để đề tài đợc hoàn thiện hơn.
Học viện Công nghệ BC - VT