H c vi n c ng ngh b u ch nh vi n th ng khoa vi n th ng i
This presentation is the property of its rightful owner.
Sponsored Links
1 / 29

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I PowerPoint PPT Presentation


  • 214 Views
  • Uploaded on
  • Presentation posted in: General

BẢO VỆ TỐT NGHIỆP. Đồ án: CÔNG NGHỆ IP-VPN. Sinh viên thực hiện: Nguyễn Đức Cường Giáo viên hướng dẫn: ThS. Nguyễn Thị Thu Hằng. HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I. 27/11/2005. NỘI DUNG BÁO CÁO. Bộ giao thức TCP/IP Công nghệ mạng riêng ảo trên Internet

Download Presentation

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


H c vi n c ng ngh b u ch nh vi n th ng khoa vi n th ng i

BẢO VỆ TỐT NGHIỆP

Đồ án:

CÔNG NGHỆ IP-VPN

Sinh viên thực hiện:Nguyễn Đức Cường

Giáo viên hướng dẫn:ThS. Nguyễn Thị Thu Hằng

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA VIỄN THÔNG I

27/11/2005


N i dung b o c o

NỘI DUNG BÁO CÁO

  • Bộ giao thức TCP/IP

  • Công nghệ mạng riêng ảo trên Internet

  • Giao thức IPSec cho IP-VPN

  • An toàn dữ liệu trong IP-VPN

  • Thực hiện IP-VPN

  • Kết luận


B giao th c tcp ip

BỘ GIAO THỨC TCP/IP


C ng ngh m ng ri ng o tr n internet

CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET

  • Khái niệm:Mạng riêng ảo trên nền Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng mạng Internet công cộng chung không đảm bảo an ninh.


C ng ngh m ng ri ng o tr n internet1

CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET

Các khối chức năng cơ bản:

  • Điều khiển truy nhập

  • Nhận thực

  • An ninh

  • Truyền Tunnel

  • Thỏa thuận mức dịch vụ


C ng ngh m ng ri ng o tr n internet2

CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET

Phân loại mạng riêng ảo theo kiến trúc

VPN truy nhập từ xa

Intranet VPN

Extranet VPN


C ng ngh m ng ri ng o tr n internet3

CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET

Giao thức đường ngầm

  • PPTP

  • L2F

  • L2TP

  • IPSEC

Sơ đồ đóng gói L2TP

Sơ đồ đóng gói PPTP


Giao th c ipsec cho ip vpn

GIAO THỨC IPSEC CHO IP-VPN

  • Đóng gói thông tin của IPSec

    • Giao thức tiêu đề xác thức AH

    • Giao thức đóng gói an toàn tải tin ESP

  • Kết hợp an ninh SA

  • Giao thức trao đổi khóa IKE

  • Các giao thức đang tồn tại ứng dụng cho IPSec


  • Giao th c ipsec cho ip vpn1

    GIAO THỨC IPSEC CHO IP-VPN

    • Giao thức tiêu đề xác thực AH


    Giao th c ipsec cho ip vpn2

    GIAO THỨC IPSEC CHO IP-VPN

    • Giao thức đóng gói an toàn tải tin ESP


    Giao th c ipsec cho ip vpn3

    GIAO THỨC IPSEC CHO IP-VPN

    • Liên kết an ninh SA

      • Là dịch vụ bảo mật quan hệ giữa hai hay nhiều thực thể để thỏa thuận truyền thông an toàn.

      • Là một kết nối đơn công.

      • Được xác định bởi ba tham số SPI, địa chỉ IP đích, giao thức an toàn (AH hayESP).

      • Là cơ sở dữ liệu để tham chiếu các dịch vụ an toàn được cung cấp khi thực hiện đóng gói thông tin


    Giao th c ipsec cho ip vpn4

    GIAO THỨC IPSEC CHO IP-VPN

    • Giao thức trao đổi khóa IKE

    • IKE pha 2

    • IKE pha 1

    • Chức năng:

      • Thỏa thuận các thông số an ninh và các tập chuyển đổi

      • Thiết lập các kết hợp an ninh IPSec

      • Định kỳ thỏa thuận lại IPSec SA

      • Thực hiện một trao đổi Diffie-Hellman bổ sung để tạo ra SA và khóa mới

    • Mục đích:

      • Thương lượng và thiết lập chính sách ninh


    Giao th c ipsec cho ip vpn5

    GIAO THỨC IPSEC CHO IP-VPN

    • Giao thức trao đổi khóa IKE

    • IKE pha 2

    • IKE pha 1

    • Chức năng:

      • Thỏa thuận các thông số an ninh và các tập chuyển đổi

      • Thiết lập các kết hợp an ninh IPSec

      • Định kỳ thỏa thuận lại IPSec SA

      • Thực hiện một trao đổi Diffie-Hellman bổ sung để tạo ra SA và khóa mới

    • Mục đích:

      • Thương lượng và thiết lập chính sách ninh


    Giao th c ipsec cho ip vpn6

    Gói tin

    Gói tin ban đầu

    Gói tin

    Gói tin sau mật mã

    Gói tin

    Gói tin truyền trên mạng công cộng

    GIAO THỨC IPSEC CHO IP-VPN

    • Ví dụ về đóng gói dữ liệu sử dụng ESP

    Tạo tiêu đề và đóng gói dữ liệu vào tiêu đề mới

    Tìm kiếm SA

    Tách tiêu đề và kiểm tra tiính toàn vẹn gói tin,…

    Tìm kiếm SA

    Giải mã dữ liệu

    Mật mã dữ liệu

    Gói tin

    Gói tin

    Gói tin

    Gói tin

    Gói tin


    Giao th c ipsec cho ip vpn7

    GIAO THỨC IPSEC CHO IP-VPN

    • Các giao thức đang được ứng dụng cho xử lý IPSec

    • Mật mã bản tin

    • Tiêu chuẩn mật mã dữ liệu DES

    • Tiêu chuẩn mật mã dữ liệu gấp ba 3DES

    • Mã nhận thực bản tin băm HMAC

    • Thuật toán MD5

    • Thuật toán băm an toàn SHA

    • Giao thức Diffie-Hellman

    • Quyền chứng nhận CA

    • Khóa chia sẽ trước

    • Chữ ký số RSA

    • RSA mật mã nonces

    • Toàn vẹn dữ liệu

    • Nhận thực các bên

    • Quản lý khóa


    An to n d li u trong ip vpn

    AN TOÀN DỮ LIỆU TRONG IP-VPN

    • Mật mã

      • Khái niêm

      • Hệ thống mật mã khóa đối xứng

      • Hệ thống mật mã khóa công khai

    • Xác thực

      • Xác thực tính toàn vẹn dữ liệu

      • Xác thực nguồn gốc dữ liệu


    An to n d li u trong ip vpn1

    AN TOÀN DỮ LIỆU TRONG IP-VPN

    • Mật mã

      • Khái niệm

    Khóa K

    Cipher

    Bản tin được mật mã

    C

    Bản tin ban đầu

    Mật mã

    EK(P)=C

    Plaintext

    Ciphertext

    Bản tin ban đầu

    Giải mã DK(C)=P

    Bản tin được mật mã

    C

    Khóa K


    An to n d li u trong ip vpn2

    AN TOÀN DỮ LIỆU TRONG IP-VPN

    • Mật mã

      • Hệ thống mật mã khóa đối xứng

        Giải thuật DES


    An to n d li u trong ip vpn3

    Khóa công khai

    Kênh truyền

    Giải thuật mã hóa

    Giải thuật giải mã

    User A

    User B

    Đoạn tin

    Đoạn tin

    Đoạn tin

    được mật mã

    Khóa bí mật

    AN TOÀN DỮ LIỆU TRONG IP-VPN

    • Mật mã

      • Hệ thống mật mã khóa công khai

    • Nguyên lý mật mã khóa công khai

      C = EKUb(M)

      M = DKRb(C)=DKRb[EKUb(M)]


    An to n d li u trong ip vpn4

    AN TOÀN DỮ LIỆU TRONG IP-VPN

    • Xác thực

      • Xác thực tính toàn vẹn dữ liệu

        • Phát hiện các bản tin bị lỗi

        • Bảo vệ chống sửa đổi bất hợp pháp bản tin

      • Xác thực nguồn gốc dữ liệu


    An to n d li u trong ip vpn5

    L

    Document

    Pad

    N x 512 bit

    Khối 1

    512 bit

    Khối 2

    512 bit

    Khối N

    512 bit

    I

    V

    Hàm băm MD5/SHA

    H

    a

    s

    h

    Hàm băm MD5/SHA

    H

    a

    s

    h

    Hàm băm MD5/SHA

    H

    a

    s

    h

    IV128/160 bit Initialization vectorP Padding

    Hash128/160 bit Hash valueL 64 bit Document Length

    AN TOÀN DỮ LIỆU TRONG IP-VPN

    • Xác thực

      • Xác thực tính toàn vẹn dữ liệu

    Cấu trúc cơ bản của MD5/SHA


    An to n d li u trong ip vpn6

    AN TOÀN DỮ LIỆU TRONG IP-VPN

    Xác thực

    Xác thực nguồn gốc dữ liệu

    User

    Kênh không an toàn

    Server

    IDU

    RU

    RS

    RS

    Giá trị ngẫu nhiên

    (Nonce)

    Khẩu lệnh

    Hash

    IDU

    RU

    RS

    Mật mã với khóa bí mật

    Hash

    Hash

    Đáp

    Giải mã với khóa công khai

    IDU

    RU

    Sig

    Sig

    Giao thức hỏi đáp sử dụng chữ ký số


    An to n d li u trong ip vpn7

    Verisign

    Swisskey

    Root CA

    Self Signed

    Self Signed

    Intermediate CA

    Amazon

    Verisign

    Trust

    Bob

    Alice

    Carol

    Client Certificate

    Amazon

    Amazon

    Swisskey

    AN TOÀN DỮ LIỆU TRONG IP-VPN

    • Xác thực

      • Xác thực nguồn gốc dữ liệu

    Mô hình phân cấp tin tưởng các chứng thực CA


    Th c hi n ip vpn

    THỰC HIỆN IP-VPN

    • Các kiến trúc khởi tạo truy nhập IP-VPN

      • IP-VPN truy nhập từ xa

    • Kiến trúc khởi tạo từ máy khách

    • Kiến trúc khởi tạo từ máy chủ truy nhập NAS


    Th c hi n ip vpn1

    THỰC HIỆN IP-VPN

    • Các kiến trúc khởi tạo truy nhập IP-VPN

      • Site-to-Site IP-VPN

    • Kiến trúc khởi tạo từ Router


    Th c hi n ip vpn2

    THỰC HIỆN IP-VPN

    • Kết nối LAN - to - LAN


    K t lu n 1 2

    KẾT LUẬN (1/2)

    • Cùng với xu hướng IP hóa mạng viễn thông, công nghệ IP-VPN hứa hẹn triển vọng thị trường rất lớn.

    • Đồ án trình bày bốn giao thức đường ngầm sử dụng cho công nghệ IP-VPN: PPTP, L2F, L2TP, IPSec.

    • Giao thức IPSec là giao thức tối ưu nhất về tính an toàn dữ liệu. Để thực hiện đóng gói dữ liệu, IPSec có hai giao thức đóng gói là AH và ESP. Liên kết an ninh sẽ định ra một tập các tham số, thuật toán và giao thức đóng gói (AH hay ESP) cho dữ liệu giữa hai bên. Giao thức trao đổi khóa IKE đảm bảo vai trò nhận thực và thỏa thuận liên kết an ninh giữa các bên tham gia.


    K t lu n 2 2

    KẾT LUẬN (2/2)

    • An toàn dữ liệu là vấn đề rất quan trọng đối với công nghệ IP-VPN. Đồ án đã trình bày một số thuật toán được dùng kết hợp với giao thức IPSec: mật mã, xác thực, toàn vẹn dữ liệu.

    • Cùng với xu hướng mạng viễn thông chuyển sang mạng thế hệ mới NGN, VPN là một trong những dịch vụ của của NGN và hứa hẹn tương lai phát triển rất lớn.

    • Hướng phát triển tiếp theo của đề tài là nghiên cứu về VPN sử dụng giao thức MPLS và ứng dụng VPN trong thông tin di động.


    H c vi n c ng ngh b u ch nh vi n th ng khoa vi n th ng i

    XIN CHÂN THÀNH CẢM ƠN

    [email protected]


  • Login