Upload
ingrid-palmer
View
68
Download
1
Embed Size (px)
DESCRIPTION
BẢO VỆ TỐT NGHIỆP. Đồ án: CÔNG NGHỆ IP-VPN. Sinh viên thực hiện: Nguyễn Đức Cường Giáo viên hướng dẫn: ThS. Nguyễn Thị Thu Hằng. HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I. 27/11/2005. NỘI DUNG BÁO CÁO. Bộ giao thức TCP/IP Công nghệ mạng riêng ảo trên Internet - PowerPoint PPT Presentation
Citation preview
1
LOGO
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNGHỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNGKHOA VIỄN THÔNG IKHOA VIỄN THÔNG I
Sinh viên thực hiện:Sinh viên thực hiện: Nguyễn Đức CườngNguyễn Đức Cường
Giáo viên hướng dẫn:Giáo viên hướng dẫn: ThS. Nguyễn Thị Thu HằngThS. Nguyễn Thị Thu Hằng
Đồ án:Đồ án:
CÔNG NGHỆ IP-VPNCÔNG NGHỆ IP-VPN
27/11/2005
2
NỘI DUNG BÁO CÁONỘI DUNG BÁO CÁO
Bộ giao thức TCP/IP Công nghệ mạng riêng ảo trên Internet Giao thức IPSec cho IP-VPN An toàn dữ liệu trong IP-VPN Thực hiện IP-VPN Kết luận
3
BỘ GIAO THỨC TCP/IP
Ping SMTP FTP Telnet NNTP etc...NFS
RPC DNS TFTP BOOTP etc...
TCP
OPF BGPIGMP RIPICMP
Data link
UDP
IP
RARPARP
Application layer
Transport layer
Internet layer
Network Access layer
Media(physical)
4
Khái niệm: Mạng riêng ảo trên nền Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng mạng Internet công cộng chung không đảm bảo an ninh.
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
Các yếu tố thúc đẩy sự phát triển thị trường IP-VPN
Sự phân tán và di động của lực
lượng lao động
Chi phí cao khi sử dụng mạng
riêngTương tác trực tiếp giữa khách
hàng và nhà cung cấp
Tích hợp các ứng dụng thương mại
Internet
Nội bật là các ứng dụng băng
thông cao
IP-VPN
5
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
Điều khiển truy nhậpNhận thựcAn ninhTruyền TunnelThỏa thuận mức dịch vụ
Các khối chức năng cơ bản:Các khối chức năng cơ bản:
6
Phân loại mạng riêng ảo theo kiến trúc
IPSec Client
ISDN Modem
DSL
Chuyển mạch
DSLAM
PSTN
RAS
Cổng SS7 RADIUS
LNS
ISP
Cổng IPSec
Hãng
DNS DHCP RADIUS ACCT
LNS: L2TP Network Server- Server mạng L2TP
L2TP: Layer Two Tunneling Protocol- Giao thức truyền tunnel lớp 2
RAS: Remote Access Server- Server truy nhập xa
DSLAM: DSL Access Multiplex- Ghép kênh truy nhập DSL
Internet
VPN truy nhập từ xa
Intranet VPN
Extranet VPN
Internet/ IP-VPN
device1device2device3 1
Remote office
device1device2device3 1
Remote office Headquarters
Homeoffice
POP
POP
POPInternet/ IP-VPN
device1device2device3 1
Remote office
device1device2device3 1
Remote office Headquarters
Homeoffice
POP
POP
POP
Business Partner
Customer
Supplier
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
7
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
Giao thức đường ngầm
PPTP
L2TP
L2F
IPSEC
text
TCP/IP IPX
PPTP Async
NetBEUI
X.25 ISDNL2TP
Data link Trailer
GRE Header
Data link Header
Encrypted PPP Payload (IP Datagram, IPX Datagram,
NetBEUI Frame)
IP Header
PPP Header
NDIS
NDISWAN
Bắt đầu gói ở đây
Cấu trúc gói tin cuối cùng
Sơ đồ đóng gói PPTP
text
TCP/IP IPX
PPTP Async
NetBEUI
X.25 ISDNL2TP
NDIS
NDISWAN
Bắt đầu gói ở đây
IPSec ESP
Header
IPSec
L2TP Header
UDP Header
PPP Payload (IP datagram, IPX datagram,
NetBEUI Frame)
PPP Header
PPP Header
IP Header
IPSec ESP
Trailer
IPSec ESP Auth
Trailer
PPP Trailer
Cấu trúc gói tin cuối cùng
Sơ đồ đóng gói L2TP
8
GIAO THỨC IPSEC CHO IP-VPN
Đóng gói thông tin của IPSecGiao thức tiêu đề xác thức AHGiao thức đóng gói an toàn tải tin ESP
Kết hợp an ninh SAGiao thức trao đổi khóa IKECác giao thức đang tồn tại ứng dụng cho IPSec
9
GIAO THỨC IPSEC CHO IP-VPN
Giao thức tiêu đề xác thực AH
Original IP Header
Original Layer 4 Header
Data
Original IP Header
IPSec AHOriginal Layer 4
HeaderData
Next Header Payload Length Reserved
Security Parameters Index (SPI)
Sequence Number
Authentication Data (Variable length-Integral Multiple of 32 bits)
32 bits
10
GIAO THỨC IPSEC CHO IP-VPN
Giao thức đóng gói an toàn tải tin ESP
Original IP Header
Original Layer 4 Header
Original IP Header
IPSec ESP Header
Original Layer 4 Header
DataIPSec ESP
Trailer
Data
SPISequence Number
PaddingPad
LengthNext
HeaderICV
Security Parameters Index (SPI)
Sequence Number Field
Payload Data (Variable length- Integral Number of Bytes)
Pad Length Next Header
Padding (0 – 255 bytes)
Authentication Data (Variable Length) (Optional)
AuthenticationC
overage
Encryption
Coverage
32 bits
11
GIAO THỨC IPSEC CHO IP-VPN
Liên kết an ninh SALà dịch vụ bảo mật quan hệ giữa hai hay nhiều
thực thể để thỏa thuận truyền thông an toàn.Là một kết nối đơn công.Được xác định bởi ba tham số SPI, địa chỉ IP đích,
giao thức an toàn (AH hayESP).Là cơ sở dữ liệu để tham chiếu các dịch vụ an toàn
được cung cấp khi thực hiện đóng gói thông tin
12
GIAO THỨC IPSEC CHO IP-VPN
Giao thức trao đổi khóa IKEIKE pha 1IKE pha 1 IKE pha 2IKE pha 2
Computer Computer
Host BHost A
Router A Router B
IKE pha 1Chế độ chính
Thương lượng chính sách
Thương lượng chính sách
Trao đổi Diffie-Hellman
Trao đổi Diffie-Hellman
Kiểm tra nhận dạng các bên
Kiểm tra nhận dạng các bên
Chức năng:Thỏa thuận các thông số an ninh và các tập chuyển đổiThiết lập các kết hợp an ninh IPSecĐịnh kỳ thỏa thuận lại IPSec SAThực hiện một trao đổi Diffie-Hellman bổ sung để tạo ra SA và khóa mới
Mục đích: Thương lượng và thiết lập chính sách ninh
13
GIAO THỨC IPSEC CHO IP-VPN
Giao thức trao đổi khóa IKEIKE pha 1IKE pha 1 IKE pha 2IKE pha 2
Computer Computer
Host BHost A
Router A Router B
IKE pha 1Chế độ chính
Thương lượng chính sách
Thương lượng chính sách
Trao đổi Diffie-Hellman
Trao đổi Diffie-Hellman
Kiểm tra nhận dạng các bên
Kiểm tra nhận dạng các bên
Chức năng:Thỏa thuận các thông số an ninh và các tập chuyển đổiThiết lập các kết hợp an ninh IPSecĐịnh kỳ thỏa thuận lại IPSec SAThực hiện một trao đổi Diffie-Hellman bổ sung để tạo ra SA và khóa mới
Mục đích: Thương lượng và thiết lập chính sách ninh
14
GIAO THỨC IPSEC CHO IP-VPN
Ví dụ về đóng gói dữ liệu sử dụng ESP
Host BHost ARouter A Router B
Interrnet
Gói tin
Tìm kiếm SA
Mật mã dữ liệu
Gói tin
Tạo tiêu đề và đóng gói dữ liệu vào tiêu đề mới
Gói tin
Tìm kiếm SA
Tách tiêu đề và kiểm tra tiính toàn vẹn gói tin,…
Giải mã dữ liệu
Gói tinGói tin
Gói tin
Gói tin
Gói tin
Gói tin ban đầu
Gói tin sau mật mã
Gói tin truyền trên mạng công cộng
15
GIAO THỨC IPSEC CHO IP-VPN
Các giao thức đang được ứng dụng cho xử lý IPSec
Mật mã bản tin
Toàn vẹn dữ liệu
Nhận thực các bên
Quản lý khóa
Tiêu chuẩn mật mã dữ liệu DESTiêu chuẩn mật mã dữ liệu gấp ba 3DES
Mã nhận thực bản tin băm HMACThuật toán MD5Thuật toán băm an toàn SHA
Khóa chia sẽ trướcChữ ký số RSARSA mật mã nonces
Giao thức Diffie-HellmanQuyền chứng nhận CA
16
AN TOÀN DỮ LIỆU TRONG IP-VPN
Mật mã Khái niêm Hệ thống mật mã khóa đối xứng Hệ thống mật mã khóa công khai
Xác thực Xác thực tính toàn vẹn dữ liệu Xác thực nguồn gốc dữ liệu
17
Cipher
AN TOÀN DỮ LIỆU TRONG IP-VPN
Mật mã Khái niệm
Mật mãEK(P)=C
Mật mãEK(P)=C
Plaintext Ciphertext
Bản tin được mật mã
C
Bản tin được mật mã
C
Khóa KKhóa K
Bản tin được mật mã
C
Bản tin được mật mã
C
Khóa KKhóa K
Bản tin ban đầu
Bản tin ban đầu
Giải mã DK(C)=P
Giải mã DK(C)=P
Bản tin ban đầu
Bản tin ban đầu
18
AN TOÀN DỮ LIỆU TRONG IP-VPN
Plaintext block (64 bits) Key (64 bits)
Khởi tạo hoán vị Bỏ parity (56 bits)
Round 1
Round 2
Round 16
Đỏa khởi tạo hoán vị
Ciphertexxt block (64 bits)
Sơ đồ thuật toán DES
Mật mã Hệ thống mật mã khóa đối xứng
Giải thuật DES
Li-1 Ri-1
Ki
Dịch Dịch
Li Ri
Ki-1
32
32
32
32
48
48
56
56
S-Box (Thay thế)
Hoán vị mở rộng
P-Box (Hoán vị)
Hoán vị nén
Khóa
Khóa
Mạng Fiestel
19
AN TOÀN DỮ LIỆU TRONG IP-VPN
Mật mã Hệ thống mật mã khóa công khai
Khóa công khai
Đoạn tin
Khóa bí mậtĐoạn tin
được mật mã
Đoạn tinUser A Giải thuật
mã hóa
Giải thuật mã hóa
Giải thuật giải mã
Giải thuật giải mã User B
Kênh truyền
Nguyên lý mật mã khóa công khaiNguyên lý mật mã khóa công khaiC = EC = EKUbKUb(M)(M)
M = DM = DKRbKRb(C)=D(C)=DKRbKRb[E[EKUbKUb(M)](M)]
20
AN TOÀN DỮ LIỆU TRONG IP-VPN
Xác thực Xác thực tính toàn vẹn dữ liệu
• Phát hiện các bản tin bị lỗi• Bảo vệ chống sửa đổi bất hợp pháp bản tin
Xác thực nguồn gốc dữ liệu
21
AN TOÀN DỮ LIỆU TRONG IP-VPN
Xác thực Xác thực tính toàn vẹn dữ liệu
Cấu trúc cơ bản của MD5/SHA
DocumentDocument PadPad LL
Khối 1512 bit
Khối 1512 bit
Khối 2512 bit
Khối 2512 bit
Khối N512 bit
Khối N512 bit
Hàm băm MD5/SHA
Hàm băm MD5/SHA Hàm băm
MD5/SHA
Hàm băm MD5/SHA
Hàm băm MD5/SHA
Hàm băm MD5/SHA
Hash
Hash
Hash
IV
N x 512 bit
IV 128/160 bit Initialization vector P PaddingHash 128/160 bit Hash value L 64 bit Document Length
22
AN TOÀN DỮ LIỆU TRONG IP-VPN
Xác thực Xác thực nguồn gốc dữ liệu
Giao thức hỏi đáp sử dụng chữ ký sốGiao thức hỏi đáp sử dụng chữ ký số
Giá trị ngẫu nhiên(Nonce)
Kênh không an
toànIDUIDU RU
RU RSRS
HashHash
IDUIDU RU
RU SigSig
IDUIDU RU
RU RSRS
RSRS
Giải mã với khóa công khai
Giải mã với khóa công khai
SigSig
Khẩu lệnh
Đáp
User Server
Mật mã với khóa bí mật
Mật mã với khóa bí mật HashHash HashHash
23
AN TOÀN DỮ LIỆU TRONG IP-VPN
Xác thực Xác thực nguồn gốc dữ liệu
Client Certificate
Trust
VerisignVerisign
Self SignedSelf Signed
AmazonAmazon
VerisignVerisign
BobBob
AmazonAmazon
AliceAlice
AmazonAmazon
CarolCarol
SwisskeySwisskey
SwisskeySwisskey
Self SignedSelf Signed
Intermediate CA
Root CA
Mô hình phân cấp tin tưởng các chứng thực CA
24
THỰC HIỆN IP-VPN
Các kiến trúc khởi tạo truy nhập IP-VPN IP-VPN truy nhập từ xa
Kiến trúc khởi tạo từ máy kháchKiến trúc khởi tạo từ máy chủ truy nhập NAS
Computer
Home Gateway
Private Corporate Network
Firewall
Network Access Server (NAS)
Dial-up Router
Telecommuter Client IPSec
IPSec Tunnel
Mobile IP
Modem Dial -in
Internet
ISDN
POTS
ComputerComputer
PSTN /ISDN
Internet
NAS
Server
Remote Users
Corporate Network
Home Gateway
Corporate Servers
Service Provider
25
THỰC HIỆN IP-VPN
Các kiến trúc khởi tạo truy nhập IP-VPN Site-to-Site IP-VPN
Kiến trúc khởi tạo từ Router
Computer Computer
Internet
POP POP
Service Provider
IPSec Tunnel
Remote Router Initiated Peering Remote Routers
Remote 1 Remote 2
26
THỰC HIỆN IP-VPN
Kết nối LAN - to - LAN
Internet
Computer
VPN Concentrator
Application Server192.168.1.10
VPN public IP 172.26.26.1
172.26.26.1203.16.5.19
ESP
192.168.1.10192.168.1.20
DATA
VPN Concentrator
Computer
VPN public IP 203.16.5.19
PC IP Address 192.168.1.20
Tunnel
27
KẾT LUẬN (1/2)
Cùng với xu hướng IP hóa mạng viễn thông, công nghệ IP-VPN hứa hẹn triển vọng thị trường rất lớn.
Đồ án trình bày bốn giao thức đường ngầm sử dụng cho công nghệ IP-VPN: PPTP, L2F, L2TP, IPSec.
Giao thức IPSec là giao thức tối ưu nhất về tính an toàn dữ liệu. Để thực hiện đóng gói dữ liệu, IPSec có hai giao thức đóng gói là AH và ESP. Liên kết an ninh sẽ định ra một tập các tham số, thuật toán và giao thức đóng gói (AH hay ESP) cho dữ liệu giữa hai bên. Giao thức trao đổi khóa IKE đảm bảo vai trò nhận thực và thỏa thuận liên kết an ninh giữa các bên tham gia.
28
KẾT LUẬN (2/2)
An toàn dữ liệu là vấn đề rất quan trọng đối với công nghệ IP-VPN. Đồ án đã trình bày một số thuật toán được dùng kết hợp với giao thức IPSec: mật mã, xác thực, toàn vẹn dữ liệu.
Cùng với xu hướng mạng viễn thông chuyển sang mạng thế hệ mới NGN, VPN là một trong những dịch vụ của của NGN và hứa hẹn tương lai phát triển rất lớn.
Hướng phát triển tiếp theo của đề tài là nghiên cứu về VPN sử dụng giao thức MPLS và ứng dụng VPN trong thông tin di động.