Download miễn phí Đồ án Nghiên cứu công nghệ IP-VPN
MỤC LỤC
MỤC LỤC i
Danh mục bảng biểu v
Danh sách hình vẽ vi
Ký hiệu viết tắt ix
LỜI NÓI ĐẦU 1
Chương 1 BỘ GIAO THỨC TCP/IP 3
1.1 Khái niệm mạng Internet 3
1.2 Mô hình phân lớp bộ giao thức TCP/IP 4
1.3 Các giao thức trong mô hình TCP/IP 5
1.3.1 Giao thức Internet 5
1.3.1.1 Giới thiệu chung 5
1.3.1.2. Cấu trúc IPv4 6
1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu 8
1.3.1.4. Địa chỉ và định tuyến IP 9
1.3.1.5. Cấu trúc gói tin IPv6 9
1.3.2. Giao thức lớp vận chuyển 11
1.3.2.1. Giao thức UDP 11
1.3.2.2. Giao thức TCP 12
1.4 Tổng kết 17
Chương 2 CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN 18
2.1 Gới thiệu về mạng riêng ảo trên Internet IP-VPN 18
2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet 18
2.1.2 Khả năng ứng dụng của IP-VPN 18
2.2 Các khối cơ bản trong mạng IP-VPN 19
2.2.1 Điều khiển truy nhập 19
2.2.2 Nhận thực 20
2.2.3 An ninh 21
2.2.4 Truyền Tunnel nền tảng IP-VPN 21
2.2.5 Các thỏa thuận mức dịch vụ 23
2.3 Phân loại mạng riêng ảo theo kiến trúc 23
2.3.1 IP-VPN truy nhập từ xa 23
2.3.2 Site-to-Site IP-VPN 25
2.3.2.1 Intranet IP-VPN 25
2.3.2.2 Extranet IP-VPN 26
2.4 Các giao thức đường ngầm trong IP-VPN 27
2.4.1 PPTP (Point - to - Point Tunneling Protocol) 28
2.4.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP 28
2.4.1.2 Đóng gói dữ liệu đường ngầm PPTP 29
2.4.1.3 Xử lí dữ liệu đường ngầm PPTP 30
2.4.1.4 Sơ đồ đóng gói 30
2.4.2 L2TP (Layer Two Tunneling Protocol) 31
2.4.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP 32
2.4.2.2 Đường ngầm dữ liệu L2TP 32
2.4.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec 33
2.4.2.4 Sơ đồ đóng gói L2TP trên nền IPSec 33
2.5 Tổng kết 35
Chương 3 GIAO THỨC IPSEC CHO IP-VPN 36
3.1 Gới thiệu 36
3.1.1 Khái niệm về IPSec 36
3.1.2 Các chuẩn tham chiếu có liên quan 37
3.2 Đóng gói thông tin của IPSec 39
3.2.1 Các kiểu sử dụng 39
3.2.1.1 Kiểu Transport 39
3.1.1.2 Kiểu Tunnel 39
3.2.2 Giao thức tiêu đề xác thực AH 40
3.2.2.1 Giới thiệu 40
3.2.2.2 Cấu trúc gói tin AH 41
3.2.2.3 Quá trình xử lý AH 42
3.2.3 Giao thức đóng gói an toàn tải tin ESP 45
3.2.3.1 Giới thiệu 45
3.2.3.2 Cấu trúc gói tin ESP 46
3.2.3.3 Quá trình xử lý ESP 48
3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE 53
3.3.1 Kết hợp an ninh SA 53
3.3.1.1 Định nghĩa và mục tiêu 53
3.3.1.2 Kết hợp các SA 54
3.3.1.3 Cơ sở dữ liệu SA 55
3.3.2 Giao thức trao đổi khóa IKE 56
3.3.2.1 Bước thứ nhất 57
3.3.2.2 Bước thứ hai 58
3.3.2.3 Bước thứ ba 60
3.3.2.4 Bước thứ tư 62
3.3.2.5 Kết thúc đường ngầm 62
3.4 Những giao thức đang được ứng dụng cho xử lý IPSec 62
3.4.1 Mật mã bản tin 62
3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES 62
3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES 63
3.4.2 Toàn vẹn bản tin 63
3.4.2.1 Mã nhận thực bản tin băm HMAC 64
3.4.2.2 Thuật toán MD5 64
3.4.2.3 Thuật toán băm an toàn SHA 64
3.4.3 Nhận thực các bên 65
3.4.3.1 Khóa chia sẻ trước 65
3.4.3.2 Chữ ký số RSA 65
3.4.3.3 RSA mật mã nonces 65
3.4.4 Quản lí khóa 66
3.4.4.1 Giao thức Diffie-Hellman 66
3.4.4.2 Quyền chứng nhận CA 67
3.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec 68
3.6 Tổng kết 69
Chương 4 AN TOÀN DỮ LIỆU TRONG IP-VPN 70
4.1 Giới thiệu 70
4.2 Mật mã 71
4.2.1 Khái niệm mật mã 71
4.2.2 Các hệ thống mật mã khóa đối xứng 72
4.2.2.1 Các chế độ làm việc ECB, CBC 72
4.2.2.2 Giải thuật DES (Data Encryption Standard) 74
4.2.2.3 Giới thiệu AES (Advanced Encryption Standard) 76
4.2.2.4Thuật toán mật mã luồng (stream cipher) 77
4.2.3 Hệ thống mật mã khóa công khai 77
4.2.3.1 Giới thiệu và lý thuyết về mã khóa công khai 77
4.2.3.2 Hệ thống mật mã khóa công khai RSA 79
4.2.4 Thuật toán trao đổi khóa Diffie-Hellman 81
4.3 Xác thực 82
4.3.1 Xác thực tính toàn vẹn của dữ liệu 82
4.3.1.1 Giản lược thông điệp MD dựa trên các hàm băm một chiều 82
4.3.1.2 Mã xác thực bản tin MAC dựa trên các hàm băm một chiều sử dụng khóa 85
4.3.1.3 Chữ ký số dựa trên hệ thống mật mã khóa công khai 87
4.3.2 Xác thực nguồn gốc dữ liệu 88
4.3.2.1 Các cách xác thực 88
4.3.2.2 Các chứng thực số (digital certificates) 91
Chương 5 THỰC HIỆN IP-VPN 94
5.1 Giới thiệu 94
5.2 Các mô hình thực hiện IP-VPN 95
5.2.1 Access VPN 96
5.2.1.1 Kiến trúc khởi tạo từ máy khách 96
5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS 97
5.2.2 Intranet IP-VPN và Extranet IP-VPN 97
5.2.3 Một số sản phẩm thực hiện VPN 98
5.3 Ví dụ về thực hiện IP-VPN 98
5.3.1 Kết nối Client-to-LAN 99
5.3.2 Kết nối LAN-to-LAN 101
KẾT LUẬN 102
Tài liệu tham khảo 103
Các website tham khảo 104
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
iệu không cần được chắc chắn.Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm một chiều (one-way hash function) đối với dữ liệu của gói để tạo ra một đoạn mã xác thực (hash hay message digest). Đoạn mã đó được chèn vào thông tin của gói truyền đi. Khi đó, bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng với một hàm băm một chiều đối với gói dữ liệu thu được và đối chiếu nó với giá trị hash đã truyền đi. Hàm băm được thực hiện trên toàn bộ gói dữ liệu, trừ một số trường trong IP header có giá trị bị thay đổi trong quá trình truyền mà phía thu không thể đoán trước được (ví dụ trường thời gian sống của gói tin bị các router thay đổi trên đường truyền dẫn).
3.2.2.2 Cấu trúc gói tin AH
Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của IP datagram, ở giữa phần IP header và header lớp 4. Bởi vì AH được liên kết với IPSec, IP-VPN có thể định dạng để chọn lưu lượng nào cần được an toàn và lưu lượng nào không cần sử dụng giải pháp an toàn giữa các bên. Ví dụ như bạn có thể chọn để xử lý lưu lượng email nhưng không đối với các dịch vụ web. Quá trình xử lý chèn AH header được diễn tả như trong hình 3.4.
Hình 3.4: Cấu trúc tiêu đề AH cho IPSec Datagram
Giải thích ý nghĩa các trường trong AH header:
+ Next Header (tiêu đề tiếp theo) Có độ dài 8 bit để nhận dạng loại dữ liệu của phần tải tin theo sau AH. Giá trị này được chọn lựa từ tập các số giao thức IP đã được định nghĩa trong các RFC gần đây nhất.
* Payload length (độ dài tải tin): Có độ dài 8 bit và chứa độ dài của tiêu đề AH được diễn tả trong các từ 32 bit, trừ 2. Ví dụ trong trường hợp của thuật toán toàn vẹn mà mang lại một giá trị xác minh 96 bit (3x32 bit), cộng với 3 từ 32 bit đã cố định, trường độ dài này có giá trị là 4. Với IPv6, tổng độ dài của tiêu đề phải là bội của các khối 8.
* Reserved (dự trữ): Trường 16 bit này dự trữ cho ứng dụng trong tương lai.
* Security Parameters Index (SPI: chỉ dẫn thông số an ninh): Trường này có độ dài 32 bit, mang tính chất bắt buộc.
* Sequence Number (số thứ tự): Đây là trường 32 bit không đánh dấu chứa một giá trị mà khi mỗi gói được gửi đi thì tăng một lần. Trường này có tính bắt buộc. Bên gửi luôn luôn bao gồm trường này ngay cả khi bên nhận không sử dụng dịch vụ chống phát lại. Bộ đếm bên gửi và nhận được khởi tạo ban đầu là 0, gói đầu tiên có số thứ tự là 1. Nếu dịch vụ chống phát lại được sử dụng, chỉ số này không thể lặp lại, sẽ có một yêu cầu kết thúc phiên truyền thông và SA sẽ được thiết lập mới trở lại trước khi truyền 232 gói mới.
* Authentication Data (dữ liệu nhận thực): Còn được gọi là ICV (Integrity Check Value: giá trị kiểm tra tính toàn vẹn) có độ dài thay đổi, bằng số nguyên lần của 32 bit đối với IPv4 và 64 bit đối với IPv6, và có thể chứa đệm để lấp đầy cho đủ là bội số các bit như trên. ICV được tính toán sử dụng thuật toán nhận thực, bao gồm mã nhận thực bản tin (Message Authentication Code MACs). MACs đơn giản có thể là thuật toán mã hóa MD5 hay SHA-1. Các khóa dùng cho mã hóa AH là các khóa xác thực bí mật được chia sẻ giữa các phần truyền thông có thể là một số ngẫu nhiên, không phải là một chuỗi có thể đoán trước của bất cứ loại nào. Tính toán ICV được thực hiện sử dụng gói tin mới đưa vào. Bất kì trường có thể biến đổi của IP header nào đều được cài đặt bằng 0, dữ liệu lớp trên được giả sử là không thể biến đổi. Mỗi bên tại đầu cuối IP-VPN tính toán ICV này độc lập. Nếu ICV tính toán được ở phía thu và ICV được phía phát truyền đến khi so sánh với nhau mà không phù hợp thì gói tin bị loại bỏ, bằng cách như vậy sẽ đảm bảo rằng gói tin không bị giả mão.
3.2.2.3 Quá trình xử lý AH
Hoạt động của AH được thực hiện qua các bước như sau:
Bước 1: Toàn bộ gói IP (bao gồm IP header và tải tin) được thực hiện qua một hàm băm một chiều.
Bước 2: Mã hash thu được dùng để xây dựng một AH header, đưa header này vào gói dữ liệu ban đầu.
Bước 3: Gói dữ liệu sau khi thêm AH header được truyền tới đối tác IPSec.
Bước 4: Bên thu thực hiện hàm băm với IP header và tải tin, kết quả thu được một mã hash.
Bước 5: Bên thu tách mã hash trong AH header.
Bước 6: Bên thu so sánh mã hash mà nó tính được mà mã hash tách ra từ AH header. Hai mã hash này phải hoàn toàn giống nhau. Nếu khác nhau chỉ một bit trong quá trình truyền thì 2 mã hash sẽ không giống nhau, bên thu lập tức phát hiện tính không toàn vẹn của dữ liệu.
a) Vị trí của AH
AH có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel. Kiểu Transport là kiểu đầu tiên được sử dụng cho kết nối đầu cuối giữa các host hay các thiết bị hoạt động như host và kiểu Tunnel được sử dụng cho các ứng dụng còn lại.
Ở kiểu Transport cho phép bảo vệ các giao thức lớp trên, cùng với một số trường trong IP header. Trong kiểu này, AH được chèn vào sau IP header và trước một giao thức lớp trên (chẳng hạn như TCP, UDP, ICMP…) và trước các IPSec header đã được chen vào. Đối với IPv4, AH đặt sau IP header và trước giao thức lớp trên (ví dụ ở đây là TCP). Đối với IPv6, AH được xem như phần tải đầu cuối-tới - đầu cuối, nên sẽ xuất hiện sau các phần header mở rộng hop-to-hop, routing và fragmentation. Các lựa chọn đích (dest options extension headers) có thể trước hay sau AH.
Sau khi thêm AH
Trước khi thêm AH
Orig IP hdr
(any options)
TCP
Data
Orig IP hdr
(any options)
AH
IPv4
IPv4
TCP
Data
Hình 3.5: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport
Sau khi thêm ẠH
Trước khi thêm ẠH
Orig IP hdr
(any options)
TCP
Data
Orig IP hdr
(any options)
AH
IPv6
IPv6
Ext hdr
if present
Hop-by-hop, dest*, routing, fragment
Dest opt*
TCP
Data
Hình 3.6: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport
Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuối cùng, còn outer IP header mang địa chỉ để định tuyến qua Internet. Trong kiểu này, AH bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả inner IP header (trong khi AH Transport chỉ bảo vệ một số trường của IP header). So với outer IP header thì vị trí của AH giống như trong kiểu Trasport.
IPv4
Nhận thực trừ các trường biến đổi ở New IP header
Orig IP hdr
(any options)
TCP
Data
New IP hdr
(any options)
AH
IPv6
Nhận thực trừ các trường biến đổi ở New IP header
New IP hdr
(any options)
AH
Ext hdr
If present
TCP
Data
Orig IP hdr
Ext hdr
If present
Hình 3.7: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel
b) Các thuật toán xác thực
Thuật toán xác thực sử dụng để tính ICV được xác định bởi kết hợp an ninh SA (Security Association). Đối với truyền thông điểm tới điểm, các thuật toán xác thực thích hợp bao gồm các hàm băm một chiều (MD5, SHA-1). Đây chính là những thuật toán bắt buộc mà một ứng dụng AH phải hỗ trợ. Chi tiết về hàm băm sẽ được đề cập cụ thể trong chương 4.
c) Xử lý gói đầu ra
Trong kiểu Transport, phía phát chèn AH header vào sau IP header và trước một header của giao thức lớp trên. Trong kiểu Tunnel, có thêm sự xuất hiện của outer IP header. Quá t...