1 / 29

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I

BẢO VỆ TỐT NGHIỆP. Đồ án: CÔNG NGHỆ IP-VPN. Sinh viên thực hiện: Nguyễn Đức Cường Giáo viên hướng dẫn: ThS. Nguyễn Thị Thu Hằng. HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I. 27/11/2005. NỘI DUNG BÁO CÁO. Bộ giao thức TCP/IP Công nghệ mạng riêng ảo trên Internet

adrina
Download Presentation

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. BẢO VỆ TỐT NGHIỆP Đồ án: CÔNG NGHỆ IP-VPN Sinh viên thực hiện:Nguyễn Đức Cường Giáo viên hướng dẫn:ThS. Nguyễn Thị Thu Hằng HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I 27/11/2005

  2. NỘI DUNG BÁO CÁO • Bộ giao thức TCP/IP • Công nghệ mạng riêng ảo trên Internet • Giao thức IPSec cho IP-VPN • An toàn dữ liệu trong IP-VPN • Thực hiện IP-VPN • Kết luận

  3. BỘ GIAO THỨC TCP/IP

  4. CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET • Khái niệm:Mạng riêng ảo trên nền Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng mạng Internet công cộng chung không đảm bảo an ninh.

  5. CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET Các khối chức năng cơ bản: • Điều khiển truy nhập • Nhận thực • An ninh • Truyền Tunnel • Thỏa thuận mức dịch vụ

  6. CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET Phân loại mạng riêng ảo theo kiến trúc VPN truy nhập từ xa Intranet VPN Extranet VPN

  7. CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET Giao thức đường ngầm • PPTP • L2F • L2TP • IPSEC Sơ đồ đóng gói L2TP Sơ đồ đóng gói PPTP

  8. GIAO THỨC IPSEC CHO IP-VPN • Đóng gói thông tin của IPSec • Giao thức tiêu đề xác thức AH • Giao thức đóng gói an toàn tải tin ESP • Kết hợp an ninh SA • Giao thức trao đổi khóa IKE • Các giao thức đang tồn tại ứng dụng cho IPSec

  9. GIAO THỨC IPSEC CHO IP-VPN • Giao thức tiêu đề xác thực AH

  10. GIAO THỨC IPSEC CHO IP-VPN • Giao thức đóng gói an toàn tải tin ESP

  11. GIAO THỨC IPSEC CHO IP-VPN • Liên kết an ninh SA • Là dịch vụ bảo mật quan hệ giữa hai hay nhiều thực thể để thỏa thuận truyền thông an toàn. • Là một kết nối đơn công. • Được xác định bởi ba tham số SPI, địa chỉ IP đích, giao thức an toàn (AH hayESP). • Là cơ sở dữ liệu để tham chiếu các dịch vụ an toàn được cung cấp khi thực hiện đóng gói thông tin

  12. GIAO THỨC IPSEC CHO IP-VPN • Giao thức trao đổi khóa IKE • IKE pha 2 • IKE pha 1 • Chức năng: • Thỏa thuận các thông số an ninh và các tập chuyển đổi • Thiết lập các kết hợp an ninh IPSec • Định kỳ thỏa thuận lại IPSec SA • Thực hiện một trao đổi Diffie-Hellman bổ sung để tạo ra SA và khóa mới • Mục đích: • Thương lượng và thiết lập chính sách ninh

  13. GIAO THỨC IPSEC CHO IP-VPN • Giao thức trao đổi khóa IKE • IKE pha 2 • IKE pha 1 • Chức năng: • Thỏa thuận các thông số an ninh và các tập chuyển đổi • Thiết lập các kết hợp an ninh IPSec • Định kỳ thỏa thuận lại IPSec SA • Thực hiện một trao đổi Diffie-Hellman bổ sung để tạo ra SA và khóa mới • Mục đích: • Thương lượng và thiết lập chính sách ninh

  14. Gói tin Gói tin ban đầu Gói tin Gói tin sau mật mã Gói tin Gói tin truyền trên mạng công cộng GIAO THỨC IPSEC CHO IP-VPN • Ví dụ về đóng gói dữ liệu sử dụng ESP Tạo tiêu đề và đóng gói dữ liệu vào tiêu đề mới Tìm kiếm SA Tách tiêu đề và kiểm tra tiính toàn vẹn gói tin,… Tìm kiếm SA Giải mã dữ liệu Mật mã dữ liệu Gói tin Gói tin Gói tin Gói tin Gói tin

  15. GIAO THỨC IPSEC CHO IP-VPN • Các giao thức đang được ứng dụng cho xử lý IPSec • Mật mã bản tin • Tiêu chuẩn mật mã dữ liệu DES • Tiêu chuẩn mật mã dữ liệu gấp ba 3DES • Mã nhận thực bản tin băm HMAC • Thuật toán MD5 • Thuật toán băm an toàn SHA • Giao thức Diffie-Hellman • Quyền chứng nhận CA • Khóa chia sẽ trước • Chữ ký số RSA • RSA mật mã nonces • Toàn vẹn dữ liệu • Nhận thực các bên • Quản lý khóa

  16. AN TOÀN DỮ LIỆU TRONG IP-VPN • Mật mã • Khái niêm • Hệ thống mật mã khóa đối xứng • Hệ thống mật mã khóa công khai • Xác thực • Xác thực tính toàn vẹn dữ liệu • Xác thực nguồn gốc dữ liệu

  17. AN TOÀN DỮ LIỆU TRONG IP-VPN • Mật mã • Khái niệm Khóa K Cipher Bản tin được mật mã C Bản tin ban đầu Mật mã EK(P)=C Plaintext Ciphertext Bản tin ban đầu Giải mã DK(C)=P Bản tin được mật mã C Khóa K

  18. AN TOÀN DỮ LIỆU TRONG IP-VPN • Mật mã • Hệ thống mật mã khóa đối xứng Giải thuật DES

  19. Khóa công khai Kênh truyền Giải thuật mã hóa Giải thuật giải mã User A User B Đoạn tin Đoạn tin Đoạn tin được mật mã Khóa bí mật AN TOÀN DỮ LIỆU TRONG IP-VPN • Mật mã • Hệ thống mật mã khóa công khai • Nguyên lý mật mã khóa công khai C = EKUb(M) M = DKRb(C)=DKRb[EKUb(M)]

  20. AN TOÀN DỮ LIỆU TRONG IP-VPN • Xác thực • Xác thực tính toàn vẹn dữ liệu • Phát hiện các bản tin bị lỗi • Bảo vệ chống sửa đổi bất hợp pháp bản tin • Xác thực nguồn gốc dữ liệu

  21. L Document Pad N x 512 bit Khối 1 512 bit Khối 2 512 bit Khối N 512 bit I V Hàm băm MD5/SHA H a s h Hàm băm MD5/SHA H a s h Hàm băm MD5/SHA H a s h IV 128/160 bit Initialization vector P Padding Hash 128/160 bit Hash value L 64 bit Document Length AN TOÀN DỮ LIỆU TRONG IP-VPN • Xác thực • Xác thực tính toàn vẹn dữ liệu Cấu trúc cơ bản của MD5/SHA

  22. AN TOÀN DỮ LIỆU TRONG IP-VPN Xác thực Xác thực nguồn gốc dữ liệu User Kênh không an toàn Server IDU RU RS RS Giá trị ngẫu nhiên (Nonce) Khẩu lệnh Hash IDU RU RS Mật mã với khóa bí mật Hash Hash Đáp Giải mã với khóa công khai IDU RU Sig Sig Giao thức hỏi đáp sử dụng chữ ký số

  23. Verisign Swisskey Root CA Self Signed Self Signed Intermediate CA Amazon Verisign Trust Bob Alice Carol Client Certificate Amazon Amazon Swisskey AN TOÀN DỮ LIỆU TRONG IP-VPN • Xác thực • Xác thực nguồn gốc dữ liệu Mô hình phân cấp tin tưởng các chứng thực CA

  24. THỰC HIỆN IP-VPN • Các kiến trúc khởi tạo truy nhập IP-VPN • IP-VPN truy nhập từ xa • Kiến trúc khởi tạo từ máy khách • Kiến trúc khởi tạo từ máy chủ truy nhập NAS

  25. THỰC HIỆN IP-VPN • Các kiến trúc khởi tạo truy nhập IP-VPN • Site-to-Site IP-VPN • Kiến trúc khởi tạo từ Router

  26. THỰC HIỆN IP-VPN • Kết nối LAN - to - LAN

  27. KẾT LUẬN (1/2) • Cùng với xu hướng IP hóa mạng viễn thông, công nghệ IP-VPN hứa hẹn triển vọng thị trường rất lớn. • Đồ án trình bày bốn giao thức đường ngầm sử dụng cho công nghệ IP-VPN: PPTP, L2F, L2TP, IPSec. • Giao thức IPSec là giao thức tối ưu nhất về tính an toàn dữ liệu. Để thực hiện đóng gói dữ liệu, IPSec có hai giao thức đóng gói là AH và ESP. Liên kết an ninh sẽ định ra một tập các tham số, thuật toán và giao thức đóng gói (AH hay ESP) cho dữ liệu giữa hai bên. Giao thức trao đổi khóa IKE đảm bảo vai trò nhận thực và thỏa thuận liên kết an ninh giữa các bên tham gia.

  28. KẾT LUẬN (2/2) • An toàn dữ liệu là vấn đề rất quan trọng đối với công nghệ IP-VPN. Đồ án đã trình bày một số thuật toán được dùng kết hợp với giao thức IPSec: mật mã, xác thực, toàn vẹn dữ liệu. • Cùng với xu hướng mạng viễn thông chuyển sang mạng thế hệ mới NGN, VPN là một trong những dịch vụ của của NGN và hứa hẹn tương lai phát triển rất lớn. • Hướng phát triển tiếp theo của đề tài là nghiên cứu về VPN sử dụng giao thức MPLS và ứng dụng VPN trong thông tin di động.

  29. XIN CHÂN THÀNH CẢM ƠN duccuongd2001vt@yahoo.co.uk

More Related