nhocsisi789
New Member
Link tải luận văn miễn phí cho ae
Danh mục bảng viii
Ký hiệu viết tắt ix
LỜI NÓI ĐẦU 1
CHƯƠNG 1: BỘ GIAO THỨC TCP/IP 3
1.1 Khái niệm mạng Internet 3
1.2 Mô hình phân lớp bộ giao thức TCP/IP 4
1.3 Các giao thức trong mô hình TCP/IP 5
1.3.1 Giao thức Internet 5
1.3.1.1 Giới thiệu chung 5
1.3.1.2. Cấu trúc IPv4 6
1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu 8
1.3.1.4. Địa chỉ và định tuyến IP 9
1.3.1.4. Cấu trúc gói tin IPv6 9
1.3.2. Giao thức lớp vận chuyển 11
1.3.2.1. Giao thức UDP 11
1.3.2.2. Giao thức TCP 12
1.4 Tổng kết 17
CHƯƠNG 2: CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN 18
2.1 Gới thiệu về mạng riêng ảo trên Internet IP-VPN 18
2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet 18
2.1.2 Khả năng ứng dụng của IP-VPN 18
2.2 Các khối cơ bản trong mạng IP-VPN 19
2.2.1 Điều khiển truy nhập 20
2.2.2 Nhận thực 21
2.2.3 An ninh 21
2.2.4 Truyền Tunnel nền tảng IP-VPN 22
2.2.5 Các thỏa thuận mức dịch vụ 24
2.3 Phân loại mạng riêng ảo theo kiến trúc 24
2.3.1 IP-VPN truy nhập từ xa 24
2.3.2 Site-to-Site IP-VPN 26
2.3.2.1 Intranet IP-VPN 26
2.3.2.2 Extranet IP-VPN 27
2.4 Các giao thức đường ngầm trong IP-VPN 28
2.4.1 PPTP (Point - to - Point Tunneling Protocol) 29
2.4.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP 29
2.4.1.2 Đóng gói dữ liệu đường ngầm PPTP 30
2.4.1.3 Xử lí dữ liệu đường ngầm PPTP 31
2.4.1.4 Sơ đồ đóng gói 31
2.4.2 L2TP (Layer Two Tunneling Protocol) 32
2.4.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP 33
2.4.2.2 Đường ngầm dữ liệu L2TP 33
2.4.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec 34
2.4.2.4 Sơ đồ đóng gói L2TP trên nền IPSec 34
2.5 Tổng kết 36
CHƯƠNG 3: GIAO THỨC IPSEC CHO IP-VPN 37
3.1 Gới thiệu 37
3.1.1 Khái niệm về IPSec 37
3.1.2 Các chuẩn tham chiếu có liên quan 38
3.2 Đóng gói thông tin của IPSec 40
3.2.1 Các kiểu sử dụng 40
3.2.1.1 Kiểu Transport 40
3.1.1.2 Kiểu Tunnel 41
3.2.2 Giao thức tiêu đề xác thực AH 42
3.2.2.1 Giới thiệu 42
3.2.2.2 Cấu trúc gói tin AH 42
3.2.2.3 Quá trình xử lý AH 44
3.2.3 Giao thức đóng gói an toàn tải tin ESP 47
3.2.3.1 Giới thiệu 47
3.2.3.2 Cấu trúc gói tin ESP 47
3.2.3.3 Quá trình xử lý ESP 50
3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE 55
3.3.1 Kết hợp an ninh SA 55
3.3.1.1 Định nghĩa và mục tiêu 55
3.3.1.2 Kết hợp các SA 56
3.3.1.3 Cơ sở dữ liệu SA 57
3.3.2 Giao thức trao đổi khóa IKE 57
3.3.2.1 Bước thứ nhất 58
3.3.2.2 Bước thứ hai 60
3.3.2.3 Bước thứ ba 62
3.3.2.4 Bước thứ tư 64
3.3.2.5 Kết thúc đường ngầm 64
3.4 Những giao thức đang tồn tại ứng dụng cho xử lý IPSec 64
3.4.1 Mật mã bản tin 64
3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES 64
3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES 65
3.4.2 Toàn vẹn bản tin 65
3.4.2.1 Mã nhận thực bản tin băm HMAC 66
3.4.2.2 Thuật toán MD5 66
3.4.2.3 Thuật toán băm an toàn SHA 66
3.4.3 Nhận thực các bên 67
3.4.3.1 Khóa chia sẻ trước 67
3.4.3.2 Chữ ký số RSA 67
3.4.3.3 RSA mật mã nonces 67
3.4.4 Quản lí khóa 68
3.4.4.1 Giao thức Diffie-Hellman 68
3.4.4.2 Quyền chứng nhận CA 69
3.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec 70
3.6 Tổng kết 71
CHƯƠNG 4: AN TOÀN DỮ LIỆU TRONG IP-VPN 73
4.1 Giới thiệu 73
4.2 Mật mã 74
4.2.1 Khái niệm mật mã 74
4.2.2 Các hệ thống mật mã khóa đối xứng 75
4.2.2.1 Các chế độ làm việc ECB, CBC 75
4.2.2.2 Giải thuật DES (Data Encryption Standard) 77
4.2.2.3 Giới thiệu AES (Advanced Encryption Standard) 79
4.2.2.4Thuật toán mật mã luồng (stream cipher) 80
4.2.3 Hệ thống mật mã khóa công khai 81
4.2.3.1 Giới thiệu và lý thuyết về mã khóa công khai 81
4.2.3.2 Hệ thống mật mã khóa công khai RSA 82
4.2.4 Thuật toán trao đổi khóa Diffie-Hellman 84
4.3 Xác thực 85
4.3.1 Xác thực tính toàn vẹn của dữ liệu 85
4.3.1.1 Giản lược thông điệp MD dựa trên các hàm băm một chiều 86
4.3.1.2 Mã xác thực bản tin MAC dựa trên các hàm băm một chiều sử dụng khóa 89
4.3.1.3 Chữ ký số dựa trên hệ thống mật mã khóa công khai 91
4.3.2 Xác thực nguồn gốc dữ liệu 92
4.3.2.1 Các cách xác thực 92
4.3.2.2 Các chứng thực số (digital certificates) 94
CHƯƠNG 5: THỰC HIỆN IP-VPN 98
5.1 Giới thiệu 98
5.2 Các mô hình thực hiện IP-VPN 99
5.2.1 Access IP-VPN 100
5.2.1.1 Kiến trúc khởi tạo từ máy khách 100
5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS 101
5.2.2 Intranet IP-VPN và Extranet IP-VPN 101
5.2.3 Một số sản phẩm thực hiện IP-VPN 102
5.3 Ví dụ về thực hiện IP-VPN 102
5.3.1 Kết nối Client-to-LAN 103
5.3.2 Kết nối LAN-to-LAN 105
5.4 Tình hình triển khai VPN ở Việt Nam 106
KẾT LUẬN 107
Tài liệu tham khảo 108
Các website chính 109
để tạo ra một đoạn mã xác thực (hash hay message digest). Đoạn mã đó được chèn vào thông tin của gói truyền đi. Khi đó, bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng với một hàm băm một chiều đối với gói dữ liệu thu được và đối chiếu nó với giá trị hash đã truyền đi. Hàm băm được thực hiện trên toàn bộ gói dữ liệu, trừ một số trường trong IP header có giá trị bị thay đổi trong quá trình truyền mà phía thu không thể đoán trước được (ví dụ trường thời gian sống của gói tin bị các router thay đổi trên đường truyền dẫn).
3.2.2.2 Cấu trúc gói tin AH
Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của IP datagram, ở giữa phần IP header và header lớp 4. Bởi vì AH được liên kết với IPSec, IP-VPN có thể định dạng để chọn lưu lượng nào cần được an toàn và lưu lượng nào không cần sử dụng giải pháp an toàn giữa các bên. Ví dụ như bạn có thể chọn để xử lý lưu lượng email nhưng không đối với các dịch vụ web. Quá trình xử lý chèn AH header được diễn tả như trong hình 3.4.
Hình 3.4: Cấu trúc tiêu đề AH cho IPSec Datagram
Giải thích ý nghĩa các trường trong AH header:
Next Header (tiêu đề tiếp theo) Có độ dài 8 bit để nhận dạng loại dữ liệu của phần tải tin theo sau AH. Giá trị này được chọn lựa từ tập các số giao thức IP đã được định nghĩa trong các RFC gần đây nhất.
Payload length (độ dài tải tin): Có độ dài 8 bit và chứa độ dài của tiêu đề AH được diễn tả trong các từ 32 bit, trừ 2. Ví dụ trong trường hợp của thuật toán toàn vẹn mà mang lại một giá trị xác minh 96 bit (3x32 bit), cộng với 3 từ 32 bit đã cố định, trường độ dài này có giá trị là 4. Với IPv6, tổng độ dài của tiêu đề phải là bội của các khối 8.
Reserved (dự trữ): Trường 16 bit này dự trữ cho ứng dụng trong tương lai.
Security Parameters Index (SPI: chỉ dẫn thông số an ninh): Trường này có độ dài 32 bit, mang tính chất bắt buộc.
Sequence Number (số thứ tự): Đây là trường 32 bit không đánh dấu chứa một giá trị mà khi mỗi gói được gửi đi thì tăng một lần. Trường này có tính bắt buộc. Bên gửi luôn luôn bao gồm trường này ngay cả khi bên nhận không sử dụng dịch vụ chống phát lại. Bộ đếm bên gửi và nhận được khởi tạo ban đầu là 0, gói đầu tiên có số thứ tự là 1. Nếu dịch vụ chống phát lại được sử dụng, chỉ số này không thể lặp lại, sẽ có một yêu cầu kết thúc phiên truyền thông và SA sẽ được thiết lập mới trở lại trước khi truyền 232 gói mới.
Authentication Data (dữ liệu nhận thực): Còn được gọi là ICV (Integrity Check Value: giá trị kiểm tra tính toàn vẹn) có độ dài thay đổi, bằng số nguyên lần của 32 bit đối với IPv4 và 64 bit đối với IPv6, và có thể chứa đệm để lấp đầy cho đủ là bội số các bit như trên. ICV được tính toán sử dụng thuật toán nhận thực, bao gồm mã nhận thực bản tin (Message Authentication Code MACs). MACs đơn giản có thể là thuật toán mã hóa MD5 hay SHA-1. Các khóa dùng cho mã hóa AH là các khóa xác thực bí mật được chia sẻ giữa các phần truyền thông có thể là một số ngẫu nhiên, không phải là một chuỗi có thể đoán trước của bất cứ loại nào. Tính toán ICV được thực hiện sử dụng gói tin mới đưa vào. Bất kì trường có thể biến đổi của IP header nào đều được cài đặt bằng 0, dữ liệu lớp trên được giả sử là không thể biến đổi. Mỗi bên tại đầu cuối IP-VPN tính toán ICV này độc lập. Nếu ICV tính toán được ở phía thu và ICV được phía phát truyền đến khi so sánh với nhau mà không phù hợp thì gói tin bị loại bỏ, bằng cách như vậy sẽ đảm bảo rằng gói tin không bị giả mão.
3.2.2.3 Quá trình xử lý AH
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
xem thêm
Slide đồ án: CÔNG NGHỆ IP-VPN
Danh mục bảng viii
Ký hiệu viết tắt ix
LỜI NÓI ĐẦU 1
CHƯƠNG 1: BỘ GIAO THỨC TCP/IP 3
1.1 Khái niệm mạng Internet 3
1.2 Mô hình phân lớp bộ giao thức TCP/IP 4
1.3 Các giao thức trong mô hình TCP/IP 5
1.3.1 Giao thức Internet 5
1.3.1.1 Giới thiệu chung 5
1.3.1.2. Cấu trúc IPv4 6
1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu 8
1.3.1.4. Địa chỉ và định tuyến IP 9
1.3.1.4. Cấu trúc gói tin IPv6 9
1.3.2. Giao thức lớp vận chuyển 11
1.3.2.1. Giao thức UDP 11
1.3.2.2. Giao thức TCP 12
1.4 Tổng kết 17
CHƯƠNG 2: CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN 18
2.1 Gới thiệu về mạng riêng ảo trên Internet IP-VPN 18
2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet 18
2.1.2 Khả năng ứng dụng của IP-VPN 18
2.2 Các khối cơ bản trong mạng IP-VPN 19
2.2.1 Điều khiển truy nhập 20
2.2.2 Nhận thực 21
2.2.3 An ninh 21
2.2.4 Truyền Tunnel nền tảng IP-VPN 22
2.2.5 Các thỏa thuận mức dịch vụ 24
2.3 Phân loại mạng riêng ảo theo kiến trúc 24
2.3.1 IP-VPN truy nhập từ xa 24
2.3.2 Site-to-Site IP-VPN 26
2.3.2.1 Intranet IP-VPN 26
2.3.2.2 Extranet IP-VPN 27
2.4 Các giao thức đường ngầm trong IP-VPN 28
2.4.1 PPTP (Point - to - Point Tunneling Protocol) 29
2.4.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP 29
2.4.1.2 Đóng gói dữ liệu đường ngầm PPTP 30
2.4.1.3 Xử lí dữ liệu đường ngầm PPTP 31
2.4.1.4 Sơ đồ đóng gói 31
2.4.2 L2TP (Layer Two Tunneling Protocol) 32
2.4.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP 33
2.4.2.2 Đường ngầm dữ liệu L2TP 33
2.4.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec 34
2.4.2.4 Sơ đồ đóng gói L2TP trên nền IPSec 34
2.5 Tổng kết 36
CHƯƠNG 3: GIAO THỨC IPSEC CHO IP-VPN 37
3.1 Gới thiệu 37
3.1.1 Khái niệm về IPSec 37
3.1.2 Các chuẩn tham chiếu có liên quan 38
3.2 Đóng gói thông tin của IPSec 40
3.2.1 Các kiểu sử dụng 40
3.2.1.1 Kiểu Transport 40
3.1.1.2 Kiểu Tunnel 41
3.2.2 Giao thức tiêu đề xác thực AH 42
3.2.2.1 Giới thiệu 42
3.2.2.2 Cấu trúc gói tin AH 42
3.2.2.3 Quá trình xử lý AH 44
3.2.3 Giao thức đóng gói an toàn tải tin ESP 47
3.2.3.1 Giới thiệu 47
3.2.3.2 Cấu trúc gói tin ESP 47
3.2.3.3 Quá trình xử lý ESP 50
3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE 55
3.3.1 Kết hợp an ninh SA 55
3.3.1.1 Định nghĩa và mục tiêu 55
3.3.1.2 Kết hợp các SA 56
3.3.1.3 Cơ sở dữ liệu SA 57
3.3.2 Giao thức trao đổi khóa IKE 57
3.3.2.1 Bước thứ nhất 58
3.3.2.2 Bước thứ hai 60
3.3.2.3 Bước thứ ba 62
3.3.2.4 Bước thứ tư 64
3.3.2.5 Kết thúc đường ngầm 64
3.4 Những giao thức đang tồn tại ứng dụng cho xử lý IPSec 64
3.4.1 Mật mã bản tin 64
3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES 64
3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES 65
3.4.2 Toàn vẹn bản tin 65
3.4.2.1 Mã nhận thực bản tin băm HMAC 66
3.4.2.2 Thuật toán MD5 66
3.4.2.3 Thuật toán băm an toàn SHA 66
3.4.3 Nhận thực các bên 67
3.4.3.1 Khóa chia sẻ trước 67
3.4.3.2 Chữ ký số RSA 67
3.4.3.3 RSA mật mã nonces 67
3.4.4 Quản lí khóa 68
3.4.4.1 Giao thức Diffie-Hellman 68
3.4.4.2 Quyền chứng nhận CA 69
3.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec 70
3.6 Tổng kết 71
CHƯƠNG 4: AN TOÀN DỮ LIỆU TRONG IP-VPN 73
4.1 Giới thiệu 73
4.2 Mật mã 74
4.2.1 Khái niệm mật mã 74
4.2.2 Các hệ thống mật mã khóa đối xứng 75
4.2.2.1 Các chế độ làm việc ECB, CBC 75
4.2.2.2 Giải thuật DES (Data Encryption Standard) 77
4.2.2.3 Giới thiệu AES (Advanced Encryption Standard) 79
4.2.2.4Thuật toán mật mã luồng (stream cipher) 80
4.2.3 Hệ thống mật mã khóa công khai 81
4.2.3.1 Giới thiệu và lý thuyết về mã khóa công khai 81
4.2.3.2 Hệ thống mật mã khóa công khai RSA 82
4.2.4 Thuật toán trao đổi khóa Diffie-Hellman 84
4.3 Xác thực 85
4.3.1 Xác thực tính toàn vẹn của dữ liệu 85
4.3.1.1 Giản lược thông điệp MD dựa trên các hàm băm một chiều 86
4.3.1.2 Mã xác thực bản tin MAC dựa trên các hàm băm một chiều sử dụng khóa 89
4.3.1.3 Chữ ký số dựa trên hệ thống mật mã khóa công khai 91
4.3.2 Xác thực nguồn gốc dữ liệu 92
4.3.2.1 Các cách xác thực 92
4.3.2.2 Các chứng thực số (digital certificates) 94
CHƯƠNG 5: THỰC HIỆN IP-VPN 98
5.1 Giới thiệu 98
5.2 Các mô hình thực hiện IP-VPN 99
5.2.1 Access IP-VPN 100
5.2.1.1 Kiến trúc khởi tạo từ máy khách 100
5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS 101
5.2.2 Intranet IP-VPN và Extranet IP-VPN 101
5.2.3 Một số sản phẩm thực hiện IP-VPN 102
5.3 Ví dụ về thực hiện IP-VPN 102
5.3.1 Kết nối Client-to-LAN 103
5.3.2 Kết nối LAN-to-LAN 105
5.4 Tình hình triển khai VPN ở Việt Nam 106
KẾT LUẬN 107
Tài liệu tham khảo 108
Các website chính 109
để tạo ra một đoạn mã xác thực (hash hay message digest). Đoạn mã đó được chèn vào thông tin của gói truyền đi. Khi đó, bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng với một hàm băm một chiều đối với gói dữ liệu thu được và đối chiếu nó với giá trị hash đã truyền đi. Hàm băm được thực hiện trên toàn bộ gói dữ liệu, trừ một số trường trong IP header có giá trị bị thay đổi trong quá trình truyền mà phía thu không thể đoán trước được (ví dụ trường thời gian sống của gói tin bị các router thay đổi trên đường truyền dẫn).
3.2.2.2 Cấu trúc gói tin AH
Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của IP datagram, ở giữa phần IP header và header lớp 4. Bởi vì AH được liên kết với IPSec, IP-VPN có thể định dạng để chọn lưu lượng nào cần được an toàn và lưu lượng nào không cần sử dụng giải pháp an toàn giữa các bên. Ví dụ như bạn có thể chọn để xử lý lưu lượng email nhưng không đối với các dịch vụ web. Quá trình xử lý chèn AH header được diễn tả như trong hình 3.4.
Hình 3.4: Cấu trúc tiêu đề AH cho IPSec Datagram
Giải thích ý nghĩa các trường trong AH header:
Next Header (tiêu đề tiếp theo) Có độ dài 8 bit để nhận dạng loại dữ liệu của phần tải tin theo sau AH. Giá trị này được chọn lựa từ tập các số giao thức IP đã được định nghĩa trong các RFC gần đây nhất.
Payload length (độ dài tải tin): Có độ dài 8 bit và chứa độ dài của tiêu đề AH được diễn tả trong các từ 32 bit, trừ 2. Ví dụ trong trường hợp của thuật toán toàn vẹn mà mang lại một giá trị xác minh 96 bit (3x32 bit), cộng với 3 từ 32 bit đã cố định, trường độ dài này có giá trị là 4. Với IPv6, tổng độ dài của tiêu đề phải là bội của các khối 8.
Reserved (dự trữ): Trường 16 bit này dự trữ cho ứng dụng trong tương lai.
Security Parameters Index (SPI: chỉ dẫn thông số an ninh): Trường này có độ dài 32 bit, mang tính chất bắt buộc.
Sequence Number (số thứ tự): Đây là trường 32 bit không đánh dấu chứa một giá trị mà khi mỗi gói được gửi đi thì tăng một lần. Trường này có tính bắt buộc. Bên gửi luôn luôn bao gồm trường này ngay cả khi bên nhận không sử dụng dịch vụ chống phát lại. Bộ đếm bên gửi và nhận được khởi tạo ban đầu là 0, gói đầu tiên có số thứ tự là 1. Nếu dịch vụ chống phát lại được sử dụng, chỉ số này không thể lặp lại, sẽ có một yêu cầu kết thúc phiên truyền thông và SA sẽ được thiết lập mới trở lại trước khi truyền 232 gói mới.
Authentication Data (dữ liệu nhận thực): Còn được gọi là ICV (Integrity Check Value: giá trị kiểm tra tính toàn vẹn) có độ dài thay đổi, bằng số nguyên lần của 32 bit đối với IPv4 và 64 bit đối với IPv6, và có thể chứa đệm để lấp đầy cho đủ là bội số các bit như trên. ICV được tính toán sử dụng thuật toán nhận thực, bao gồm mã nhận thực bản tin (Message Authentication Code MACs). MACs đơn giản có thể là thuật toán mã hóa MD5 hay SHA-1. Các khóa dùng cho mã hóa AH là các khóa xác thực bí mật được chia sẻ giữa các phần truyền thông có thể là một số ngẫu nhiên, không phải là một chuỗi có thể đoán trước của bất cứ loại nào. Tính toán ICV được thực hiện sử dụng gói tin mới đưa vào. Bất kì trường có thể biến đổi của IP header nào đều được cài đặt bằng 0, dữ liệu lớp trên được giả sử là không thể biến đổi. Mỗi bên tại đầu cuối IP-VPN tính toán ICV này độc lập. Nếu ICV tính toán được ở phía thu và ICV được phía phát truyền đến khi so sánh với nhau mà không phù hợp thì gói tin bị loại bỏ, bằng cách như vậy sẽ đảm bảo rằng gói tin không bị giả mão.
3.2.2.3 Quá trình xử lý AH
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
You must be registered for see links
xem thêm
Slide đồ án: CÔNG NGHỆ IP-VPN