HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I

1

LOGO

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNGHỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNGKHOA VIỄN THÔNG IKHOA VIỄN THÔNG I

Sinh viên thực hiện:Sinh viên thực hiện: Nguyễn Đức CườngNguyễn Đức Cường

Giáo viên hướng dẫn:Giáo viên hướng dẫn: ThS. Nguyễn Thị Thu HằngThS. Nguyễn Thị Thu Hằng

Đồ án:Đồ án:

CÔNG NGHỆ IP-VPNCÔNG NGHỆ IP-VPN

27/11/2005

2

NỘI DUNG BÁO CÁONỘI DUNG BÁO CÁO

Bộ giao thức TCP/IP Công nghệ mạng riêng ảo trên Internet Giao thức IPSec cho IP-VPN An toàn dữ liệu trong IP-VPN Thực hiện IP-VPN Kết luận

3

BỘ GIAO THỨC TCP/IP

Ping SMTP FTP Telnet NNTP etc...NFS

RPC DNS TFTP BOOTP etc...

TCP

OPF BGPIGMP RIPICMP

Data link

UDP

IP

RARPARP

Application layer

Transport layer

Internet layer

Network Access layer

Media(physical)

4

Khái niệm: Mạng riêng ảo trên nền Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng mạng Internet công cộng chung không đảm bảo an ninh.

CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET

Các yếu tố thúc đẩy sự phát triển thị trường IP-VPN

Sự phân tán và di động của lực

lượng lao động

Chi phí cao khi sử dụng mạng

riêngTương tác trực tiếp giữa khách

hàng và nhà cung cấp

Tích hợp các ứng dụng thương mại

Internet

Nội bật là các ứng dụng băng

thông cao

IP-VPN

5


Điều khiển truy nhậpNhận thựcAn ninhTruyền TunnelThỏa thuận mức dịch vụ

Các khối chức năng cơ bản:Các khối chức năng cơ bản:

6

Phân loại mạng riêng ảo theo kiến trúc

IPSec Client

ISDN Modem

DSL

Chuyển mạch

DSLAM

PSTN

RAS

Cổng SS7 RADIUS

LNS

ISP

Cổng IPSec

Hãng

DNS DHCP RADIUS ACCT

LNS: L2TP Network Server- Server mạng L2TP

L2TP: Layer Two Tunneling Protocol- Giao thức truyền tunnel lớp 2

RAS: Remote Access Server- Server truy nhập xa

DSLAM: DSL Access Multiplex- Ghép kênh truy nhập DSL

Internet

VPN truy nhập từ xa

Intranet VPN

Extranet VPN

Internet/ IP-VPN

device1device2device3 1

Remote office


Remote office Headquarters

Homeoffice

POP

POP

POPInternet/ IP-VPN


Remote office


Remote office Headquarters

Homeoffice

POP

POP

POP

Business Partner

Customer

Supplier


7


Giao thức đường ngầm

PPTP

L2TP

L2F

IPSEC

text

TCP/IP IPX

PPTP Async

NetBEUI

X.25 ISDNL2TP

Data link Trailer

GRE Header

Data link Header

Encrypted PPP Payload (IP Datagram, IPX Datagram,

NetBEUI Frame)

IP Header

PPP Header

NDIS

NDISWAN

Bắt đầu gói ở đây

Cấu trúc gói tin cuối cùng

Sơ đồ đóng gói PPTP

text

TCP/IP IPX

PPTP Async

NetBEUI

X.25 ISDNL2TP

NDIS

NDISWAN

Bắt đầu gói ở đây

IPSec ESP

Header

IPSec

L2TP Header

UDP Header

PPP Payload (IP datagram, IPX datagram,

NetBEUI Frame)

PPP Header

PPP Header

IP Header

IPSec ESP

Trailer

IPSec ESP Auth

Trailer

PPP Trailer

Cấu trúc gói tin cuối cùng

Sơ đồ đóng gói L2TP

8

GIAO THỨC IPSEC CHO IP-VPN

Đóng gói thông tin của IPSecGiao thức tiêu đề xác thức AHGiao thức đóng gói an toàn tải tin ESP

Kết hợp an ninh SAGiao thức trao đổi khóa IKECác giao thức đang tồn tại ứng dụng cho IPSec

9


Giao thức tiêu đề xác thực AH

Original IP Header

Original Layer 4 Header

Data

Original IP Header

IPSec AHOriginal Layer 4

HeaderData

Next Header Payload Length Reserved

Security Parameters Index (SPI)

Sequence Number

Authentication Data (Variable length-Integral Multiple of 32 bits)

32 bits

10


Giao thức đóng gói an toàn tải tin ESP

Original IP Header


Original IP Header

IPSec ESP Header


DataIPSec ESP

Trailer

Data

SPISequence Number

PaddingPad

LengthNext

HeaderICV

Security Parameters Index (SPI)

Sequence Number Field

Payload Data (Variable length- Integral Number of Bytes)

Pad Length Next Header

Padding (0 – 255 bytes)

Authentication Data (Variable Length) (Optional)

AuthenticationC

overage

Encryption

Coverage

32 bits

11


Liên kết an ninh SALà dịch vụ bảo mật quan hệ giữa hai hay nhiều

thực thể để thỏa thuận truyền thông an toàn.Là một kết nối đơn công.Được xác định bởi ba tham số SPI, địa chỉ IP đích,

giao thức an toàn (AH hayESP).Là cơ sở dữ liệu để tham chiếu các dịch vụ an toàn

được cung cấp khi thực hiện đóng gói thông tin

12


Giao thức trao đổi khóa IKEIKE pha 1IKE pha 1 IKE pha 2IKE pha 2

Computer Computer

Host BHost A

Router A Router B

IKE pha 1Chế độ chính

Thương lượng chính sách


Trao đổi Diffie-Hellman


Kiểm tra nhận dạng các bên


Chức năng:Thỏa thuận các thông số an ninh và các tập chuyển đổiThiết lập các kết hợp an ninh IPSecĐịnh kỳ thỏa thuận lại IPSec SAThực hiện một trao đổi Diffie-Hellman bổ sung để tạo ra SA và khóa mới

Mục đích: Thương lượng và thiết lập chính sách ninh

13


Giao thức trao đổi khóa IKEIKE pha 1IKE pha 1 IKE pha 2IKE pha 2

Computer Computer

Host BHost A

Router A Router B

IKE pha 1Chế độ chính







Chức năng:Thỏa thuận các thông số an ninh và các tập chuyển đổiThiết lập các kết hợp an ninh IPSecĐịnh kỳ thỏa thuận lại IPSec SAThực hiện một trao đổi Diffie-Hellman bổ sung để tạo ra SA và khóa mới

Mục đích: Thương lượng và thiết lập chính sách ninh

14


Ví dụ về đóng gói dữ liệu sử dụng ESP

Host BHost ARouter A Router B

Interrnet

Gói tin

Tìm kiếm SA

Mật mã dữ liệu

Gói tin

Tạo tiêu đề và đóng gói dữ liệu vào tiêu đề mới

Gói tin

Tìm kiếm SA

Tách tiêu đề và kiểm tra tiính toàn vẹn gói tin,…

Giải mã dữ liệu

Gói tinGói tin

Gói tin

Gói tin

Gói tin

Gói tin ban đầu

Gói tin sau mật mã

Gói tin truyền trên mạng công cộng

15


Các giao thức đang được ứng dụng cho xử lý IPSec

Mật mã bản tin

Toàn vẹn dữ liệu

Nhận thực các bên

Quản lý khóa

Tiêu chuẩn mật mã dữ liệu DESTiêu chuẩn mật mã dữ liệu gấp ba 3DES

Mã nhận thực bản tin băm HMACThuật toán MD5Thuật toán băm an toàn SHA

Khóa chia sẽ trướcChữ ký số RSARSA mật mã nonces

Giao thức Diffie-HellmanQuyền chứng nhận CA

16

AN TOÀN DỮ LIỆU TRONG IP-VPN

Mật mã Khái niêm Hệ thống mật mã khóa đối xứng Hệ thống mật mã khóa công khai

Xác thực Xác thực tính toàn vẹn dữ liệu Xác thực nguồn gốc dữ liệu

17

Cipher


Mật mã Khái niệm

Mật mãEK(P)=C

Mật mãEK(P)=C

Plaintext Ciphertext

Bản tin được mật mã

C


C

Khóa KKhóa K


C


C

Khóa KKhóa K

Bản tin ban đầu


Giải mã DK(C)=P

Giải mã DK(C)=P



18


Plaintext block (64 bits) Key (64 bits)

Khởi tạo hoán vị Bỏ parity (56 bits)

Round 1

Round 2

Round 16

Đỏa khởi tạo hoán vị

Ciphertexxt block (64 bits)

Sơ đồ thuật toán DES

Mật mã Hệ thống mật mã khóa đối xứng

Giải thuật DES

Li-1 Ri-1

Ki

Dịch Dịch

Li Ri

Ki-1

32

32

32

32

48

48

56

56

S-Box (Thay thế)

Hoán vị mở rộng

P-Box (Hoán vị)

Hoán vị nén

Khóa

Khóa

Mạng Fiestel

19


Mật mã Hệ thống mật mã khóa công khai

Khóa công khai

Đoạn tin

Khóa bí mậtĐoạn tin

được mật mã

Đoạn tinUser A Giải thuật

mã hóa

Giải thuật mã hóa

Giải thuật giải mã

Giải thuật giải mã User B

Kênh truyền

Nguyên lý mật mã khóa công khaiNguyên lý mật mã khóa công khaiC = EC = EKUbKUb(M)(M)

M = DM = DKRbKRb(C)=D(C)=DKRbKRb[E[EKUbKUb(M)](M)]

20


Xác thực Xác thực tính toàn vẹn dữ liệu

• Phát hiện các bản tin bị lỗi• Bảo vệ chống sửa đổi bất hợp pháp bản tin

Xác thực nguồn gốc dữ liệu

21


Xác thực Xác thực tính toàn vẹn dữ liệu

Cấu trúc cơ bản của MD5/SHA

DocumentDocument PadPad LL

Khối 1512 bit

Khối 1512 bit

Khối 2512 bit

Khối 2512 bit

Khối N512 bit

Khối N512 bit

Hàm băm MD5/SHA

Hàm băm MD5/SHA Hàm băm

MD5/SHA

Hàm băm MD5/SHA

Hàm băm MD5/SHA

Hàm băm MD5/SHA

Hash

Hash

Hash

IV

N x 512 bit

IV 128/160 bit Initialization vector P PaddingHash 128/160 bit Hash value L 64 bit Document Length

22


Xác thực Xác thực nguồn gốc dữ liệu

Giao thức hỏi đáp sử dụng chữ ký sốGiao thức hỏi đáp sử dụng chữ ký số

Giá trị ngẫu nhiên(Nonce)

Kênh không an

toànIDUIDU RU

RU RSRS

HashHash

IDUIDU RU

RU SigSig

IDUIDU RU

RU RSRS

RSRS

Giải mã với khóa công khai

Giải mã với khóa công khai

SigSig

Khẩu lệnh

Đáp

User Server

Mật mã với khóa bí mật

Mật mã với khóa bí mật HashHash HashHash

23


Xác thực Xác thực nguồn gốc dữ liệu

Client Certificate

Trust

VerisignVerisign

Self SignedSelf Signed

AmazonAmazon

VerisignVerisign

BobBob

AmazonAmazon

AliceAlice

AmazonAmazon

CarolCarol

SwisskeySwisskey

SwisskeySwisskey

Self SignedSelf Signed

Intermediate CA

Root CA

Mô hình phân cấp tin tưởng các chứng thực CA

24

THỰC HIỆN IP-VPN

Các kiến trúc khởi tạo truy nhập IP-VPN IP-VPN truy nhập từ xa

Kiến trúc khởi tạo từ máy kháchKiến trúc khởi tạo từ máy chủ truy nhập NAS

Computer

Home Gateway

Private Corporate Network

Firewall

Network Access Server (NAS)

Dial-up Router

Telecommuter Client IPSec

IPSec Tunnel

Mobile IP

Modem Dial -in

Internet

ISDN

POTS

ComputerComputer

PSTN /ISDN

Internet

NAS

Server

Remote Users

Corporate Network

Home Gateway

Corporate Servers

Service Provider

25


Các kiến trúc khởi tạo truy nhập IP-VPN Site-to-Site IP-VPN

Kiến trúc khởi tạo từ Router

Computer Computer

Internet

POP POP

Service Provider

IPSec Tunnel

Remote Router Initiated Peering Remote Routers

Remote 1 Remote 2

26


Kết nối LAN - to - LAN

Internet

Computer

VPN Concentrator

Application Server192.168.1.10

VPN public IP 172.26.26.1

172.26.26.1203.16.5.19

ESP

192.168.1.10192.168.1.20

DATA

VPN Concentrator

Computer

VPN public IP 203.16.5.19

PC IP Address 192.168.1.20

Tunnel

27

KẾT LUẬN (1/2)

Cùng với xu hướng IP hóa mạng viễn thông, công nghệ IP-VPN hứa hẹn triển vọng thị trường rất lớn.

Đồ án trình bày bốn giao thức đường ngầm sử dụng cho công nghệ IP-VPN: PPTP, L2F, L2TP, IPSec.

Giao thức IPSec là giao thức tối ưu nhất về tính an toàn dữ liệu. Để thực hiện đóng gói dữ liệu, IPSec có hai giao thức đóng gói là AH và ESP. Liên kết an ninh sẽ định ra một tập các tham số, thuật toán và giao thức đóng gói (AH hay ESP) cho dữ liệu giữa hai bên. Giao thức trao đổi khóa IKE đảm bảo vai trò nhận thực và thỏa thuận liên kết an ninh giữa các bên tham gia.

28

KẾT LUẬN (2/2)

An toàn dữ liệu là vấn đề rất quan trọng đối với công nghệ IP-VPN. Đồ án đã trình bày một số thuật toán được dùng kết hợp với giao thức IPSec: mật mã, xác thực, toàn vẹn dữ liệu.

Cùng với xu hướng mạng viễn thông chuyển sang mạng thế hệ mới NGN, VPN là một trong những dịch vụ của của NGN và hứa hẹn tương lai phát triển rất lớn.

Hướng phát triển tiếp theo của đề tài là nghiên cứu về VPN sử dụng giao thức MPLS và ứng dụng VPN trong thông tin di động.

[email protected]

Documents

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I