Bộ giao thức TCP/IP
Công nghệ mạng riêng ảo trên Internet
Giao thức IPSec cho IP-VPN
An toàn dữ liệu trong IP-VPN
Thực hiện IP-VPN
Kết luận
34 trang |
Chia sẻ: tuandn | Lượt xem: 2754 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đồ án Công nghệ IP-VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I Sinh viên thực hiện: Nguyễn Đức Cường Giáo viên hướng dẫn: ThS. Nguyễn Thị Thu Hằng Đồ án: CÔNG NGHỆ IP-VPN 27/11/2005 NỘI DUNG BÁO CÁO Bộ giao thức TCP/IP Công nghệ mạng riêng ảo trên Internet Giao thức IPSec cho IP-VPN An toàn dữ liệu trong IP-VPN Thực hiện IP-VPN Kết luận BỘ GIAO THỨC TCP/IP Khái niệm: Mạng riêng ảo trên nền Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng mạng Internet công cộng chung không đảm bảo an ninh. CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET Điều khiển truy nhập Nhận thực An ninh Truyền Tunnel Thỏa thuận mức dịch vụ Các khối chức năng cơ bản: Phân loại mạng riêng ảo theo kiến trúc VPN truy nhập từ xa Intranet VPN Extranet VPN CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET Giao thức đường ngầm PPTP L2TP L2F IPSEC Sơ đồ đóng gói PPTP Sơ đồ đóng gói L2TP GIAO THỨC IPSEC CHO IP-VPN Đóng gói thông tin của IPSec Giao thức tiêu đề xác thức AH Giao thức đóng gói an toàn tải tin ESP Kết hợp an ninh SA Giao thức trao đổi khóa IKE Các giao thức đang tồn tại ứng dụng cho IPSec GIAO THỨC IPSEC CHO IP-VPN Giao thức tiêu đề xác thực AH GIAO THỨC IPSEC CHO IP-VPN Giao thức đóng gói an toàn tải tin ESP GIAO THỨC IPSEC CHO IP-VPN Liên kết an ninh SA Là dịch vụ bảo mật quan hệ giữa hai hay nhiều thực thể để thỏa thuận truyền thông an toàn. Là một kết nối đơn công. Được xác định bởi ba tham số SPI, địa chỉ IP đích, giao thức an toàn (AH hayESP). Là cơ sở dữ liệu để tham chiếu các dịch vụ an toàn được cung cấp khi thực hiện đóng gói thông tin GIAO THỨC IPSEC CHO IP-VPN Giao thức trao đổi khóa IKE IKE pha 1 IKE pha 2 Chức năng: Thỏa thuận các thông số an ninh và các tập chuyển đổi Thiết lập các kết hợp an ninh IPSec Định kỳ thỏa thuận lại IPSec SA Thực hiện một trao đổi Diffie-Hellman bổ sung để tạo ra SA và khóa mới Mục đích: Thương lượng và thiết lập chính sách ninh GIAO THỨC IPSEC CHO IP-VPN Giao thức trao đổi khóa IKE IKE pha 1 IKE pha 2 Chức năng: Thỏa thuận các thông số an ninh và các tập chuyển đổi Thiết lập các kết hợp an ninh IPSec Định kỳ thỏa thuận lại IPSec SA Thực hiện một trao đổi Diffie-Hellman bổ sung để tạo ra SA và khóa mới Mục đích: Thương lượng và thiết lập chính sách ninh GIAO THỨC IPSEC CHO IP-VPN Ví dụ về đóng gói dữ liệu sử dụng ESP Gói tin Tìm kiếm SA Mật mã dữ liệu Gói tin Tạo tiêu đề và đóng gói dữ liệu vào tiêu đề mới Gói tin Tìm kiếm SA Tách tiêu đề và kiểm tra tiính toàn vẹn gói tin,… Giải mã dữ liệu Gói tin Gói tin GIAO THỨC IPSEC CHO IP-VPN Các giao thức đang được ứng dụng cho xử lý IPSec Mật mã bản tin Toàn vẹn dữ liệu Nhận thực các bên Quản lý khóa Tiêu chuẩn mật mã dữ liệu DES Tiêu chuẩn mật mã dữ liệu gấp ba 3DES Mã nhận thực bản tin băm HMAC Thuật toán MD5 Thuật toán băm an toàn SHA Khóa chia sẽ trước Chữ ký số RSA RSA mật mã nonces Giao thức Diffie-Hellman Quyền chứng nhận CA AN TOÀN DỮ LIỆU TRONG IP-VPN Mật mã Khái niêm Hệ thống mật mã khóa đối xứng Hệ thống mật mã khóa công khai Xác thực Xác thực tính toàn vẹn dữ liệu Xác thực nguồn gốc dữ liệu Cipher AN TOÀN DỮ LIỆU TRONG IP-VPN Mật mã Khái niệm Mật mã EK(P)=C Plaintext Ciphertext Bản tin được mật mã C Khóa K Bản tin được mật mã C Khóa K Bản tin ban đầu Giải mã DK(C)=P Bản tin ban đầu AN TOÀN DỮ LIỆU TRONG IP-VPN Mật mã Hệ thống mật mã khóa đối xứng Giải thuật DES AN TOÀN DỮ LIỆU TRONG IP-VPN Mật mã Hệ thống mật mã khóa công khai Nguyên lý mật mã khóa công khai C = EKUb(M) M = DKRb(C)=DKRb[EKUb(M)] AN TOÀN DỮ LIỆU TRONG IP-VPN Xác thực Xác thực tính toàn vẹn dữ liệu Phát hiện các bản tin bị lỗi Bảo vệ chống sửa đổi bất hợp pháp bản tin Xác thực nguồn gốc dữ liệu AN TOÀN DỮ LIỆU TRONG IP-VPN Xác thực Xác thực tính toàn vẹn dữ liệu Cấu trúc cơ bản của MD5/SHA AN TOÀN DỮ LIỆU TRONG IP-VPN Xác thực Xác thực nguồn gốc dữ liệu Giao thức hỏi đáp sử dụng chữ ký số AN TOÀN DỮ LIỆU TRONG IP-VPN Xác thực Xác thực nguồn gốc dữ liệu Mô hình phân cấp tin tưởng các chứng thực CA THỰC HIỆN IP-VPN Các kiến trúc khởi tạo truy nhập IP-VPN IP-VPN truy nhập từ xa Kiến trúc khởi tạo từ máy khách Kiến trúc khởi tạo từ máy chủ truy nhập NAS THỰC HIỆN IP-VPN Các kiến trúc khởi tạo truy nhập IP-VPN Site-to-Site IP-VPN Kiến trúc khởi tạo từ Router THỰC HIỆN IP-VPN Kết nối LAN - to - LAN KẾT LUẬN (1/2) Cùng với xu hướng IP hóa mạng viễn thông, công nghệ IP-VPN hứa hẹn triển vọng thị trường rất lớn. Đồ án trình bày bốn giao thức đường ngầm sử dụng cho công nghệ IP-VPN: PPTP, L2F, L2TP, IPSec. Giao thức IPSec là giao thức tối ưu nhất về tính an toàn dữ liệu. Để thực hiện đóng gói dữ liệu, IPSec có hai giao thức đóng gói là AH và ESP. Liên kết an ninh sẽ định ra một tập các tham số, thuật toán và giao thức đóng gói (AH hay ESP) cho dữ liệu giữa hai bên. Giao thức trao đổi khóa IKE đảm bảo vai trò nhận thực và thỏa thuận liên kết an ninh giữa các bên tham gia. KẾT LUẬN (2/2) An toàn dữ liệu là vấn đề rất quan trọng đối với công nghệ IP-VPN. Đồ án đã trình bày một số thuật toán được dùng kết hợp với giao thức IPSec: mật mã, xác thực, toàn vẹn dữ liệu. Cùng với xu hướng mạng viễn thông chuyển sang mạng thế hệ mới NGN, VPN là một trong những dịch vụ của của NGN và hứa hẹn tương lai phát triển rất lớn. Hướng phát triển tiếp theo của đề tài là nghiên cứu về VPN sử dụng giao thức MPLS và ứng dụng VPN trong thông tin di động. duccuongd2001vt@yahoo.co.uk GIAO THỨC IPSEC CHO IP-VPN Giao thức tiêu đề xác thực AH Khuôn dạng gói tin đã xử lý AH kiểu Tunnel GIAO THỨC IPSEC CHO IP-VPN Giao thức đóng gói an toàn tải tin ESP Khuôn dạng gói tin ESP kiểu Tunnel GIAO THỨC IPSEC CHO IP-VPN Các tập chuyển đổi được thương lượng trong IKE pha thứ hai THỰC HIỆN IP-VPN Kết nối client - to - LAN