BÁO cáo đồ án tốt NGHIỆP VITRUAL PRIVATE NETWORKING

Đề Tài Mạng Máy Tính Bộ giáo dục và đào tạo Trường cao đẳng Kinh Tế Công Nghệ Thành Phố Hồ Chí Minh Khoa Công Nghệ Thông Tin ĐỒ ÁN MẠNG MÁY TÍNH Đề tài Tìm Hiểu Công Nghệ VPN Triển Khai Trên Win2k8 GVHD SVTH Tp Hồ Chí Minh Ngày Tháng Năm 20 3 I CÁC KHÁI NIỆM CƠ BẢN VỀ VPN (VITRUAL PRIVATE NETWORKING) 1 Một Số Khái Niệm Cơ Bản Về VPN 1 1 Tìm hiểu về VPN Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và tính phổ cập của nó Tuy nhiên, do Internet là nguồn thông tin công cộng nê.

Khoa Công Nghệ Thông Tin

Tp Hồ Chí Minh Ngày Tháng Năm 20.

M c đích chính c a VPN là cung c p b o m t, tính hi u qu  và đ  tin c y trong m ng trong khi v n đ m b o ụ ủ ấ ả ậ ệ ả ộ ậ ạ ẫ ả ảcân b ng giá thành cho toàn b  quá trình xây d ng m ng.ằ ộ ự ạ

VPN đ c hi u là ph n m  r ng c a m t m ng Intranet đ c k t n i thông qua m ng công c ng nh m b o đ mượ ể ầ ở ộ ủ ộ ạ ượ ế ố ạ ộ ằ ả ả

an toàn và tăng hi u qu  giá thành k t n i gi a hai đ u n i.C  ch  và đ  gi i h ng b o m t tinh vi cũng đ c sệ ả ế ố ữ ầ ố ơ ế ộ ớ ạ ả ậ ượ ử

d ng đ  b o đ m tính an toàn cho vi c trao đ i nh ng d  li u d  b  đánh c p thông qua m t môi tr ng không ụ ể ả ả ệ ổ ữ ữ ệ ễ ị ậ ộ ườ

an toàn. C  ch  an toàn bao g m nh ng khái ni m sau đây :ơ ế ồ ữ ệ

Encryption : Mã hoá d  li u là m t quá trình x  lý thay đ i d  li u theo m t chu n nh t đ nh và d  li u ch  có ữ ệ ộ ữ ổ ữ ệ ộ ẩ ấ ị ữ ệ ỉ

th  đ c đ c b i ng i dùng mong mu n. Ð  đ c đ c d  li u ng i nh n bu c ph i có chính xác m t khóa ể ượ ọ ở ườ ố ể ọ ượ ữ ệ ườ ậ ộ ả ộ

gi i mã d  li u. Theo ph ng pháp truy n th ng, ng i nh n và g i d  li u s  có cùng m t khoá đ  có th  gi i ả ữ ệ ươ ề ố ườ ậ ử ữ ệ ẽ ộ ể ể ả

mã và mã hoá dữ  li u. L c đ  public­key s  d ng 2 khóa, m t khóa đ c xem nh  m t public­key (khóa côngệ ượ ồ ử ụ ộ ượ ư ộ

c ng) mà b t c  ai cũng có th  dùng đ  mã hoá và gi i mã dộ ấ ứ ể ể ả ữ  li u.ệ

Authentication : Là m t quá trình x  lý b o đ m ch c ch n d  li u s  đ c chuy n đ n ng i nh n đ ng th i ộ ữ ả ả ắ ắ ữ ệ ẽ ượ ễ ế ườ ậ ồ ờcũng b o đ m thông tin nh n đ c nguyên v n.   hình th c c  b n, Authentication đòi h i ít nh t ph i nh p ả ả ậ ượ ẹ Ở ứ ơ ả ỏ ấ ả ậvào Username và Password đ  có th  truy c p vào tài nguyên. Trong m t s  tình hu ng ph c t p, s  có thêm ể ể ậ ộ ố ố ứ ạ ẽsecret­key ho c public­key đ  mã hoá d  li u.ặ ể ữ ệ

Authorization : Ðây là quá trình x  lý c p quy n truy c p ho c ngăn c m vào tài nguyên trên m ng sau khi đã ữ ấ ề ậ ặ ấ ạ

Sau khi th  h  th  hai c a VPNs ra đ i, th  tr ng VPNs t m th i l ng đ ng và ch m ti n tri n, cho t i khi có ế ệ ứ ủ ờ ị ườ ạ ờ ắ ộ ậ ế ể ớ

s  n i lên c a hai công ngh  cell­based Frame Relay (FR) Asynchronous Tranfer Mode (ATM). Th  h  th  ba ự ổ ủ ệ ế ệ ứ

c a VPNs đã phát tri n d a theo 2 công ngh  này. Hai công ngh  này phát tri n d a trên khái ni m v  Virtual ủ ể ự ệ ệ ể ự ệ ềCircuit Switching, theo đó, các gói d  li u s  không ch a đ a ch  ngu n và đích. Thay vào đó, chúng s  mang ữ ệ ẽ ứ ị ỉ ồ ẽ

nh ng con tr , tr  đ n các virtual curcuit n i mà d  li u ngu n và đích s  đ c gi i quy t.ữ ỏ ỏ ế ơ ữ ệ ồ ẽ ượ ả ế

Chú ý : công ngh  Virtual Circuit switching có t c đ  truy n d  li u cao (160 Mbs ho c cao h n) h n so v i thệ ố ộ ề ữ ệ ặ ơ ơ ớ ế

h  tr c­SDN, X.25, ISDN. Tuy nhiên vi c đóng gói IP l u thông bên trong gói Frame Relay và ATM cells thì ệ ướ ệ ư

ch m. Ngoài ra, m ng FR­based và ATM­based cũng không cung c p ph ng pháp xác nh n packet­level end­ậ ạ ấ ươ ậto­end và mã hóa cho nh ng  ng d ng high­end ch ng h n nh  multimedia.ữ ứ ụ ẳ ạ ư

Tunneling là m t k  thu t đóng gói các gói dộ ỹ ậ ữ  li u trong tunneling protocol, nh  IP Security (IPSec), Point­to­ệ ưPoint Tunneling Protocol (PPTP), ho c Layer 2 Tunneling Protocol (L2TP) và cu i cùng là đóng gói nh ng gói ặ ố ữ

đã đ c tunnel bên trong m t gói IP. T ng h p các gói d  li u sau đó route đ n m ng đích b ng cách s  d ng ượ ộ ổ ợ ữ ệ ế ạ ằ ử ụ

l p ph  thông tin IP. B i vì gói d  li u nguyên b n có th  là b t c  d ng nào nên tunneling có th  h  tr  đa giaoớ ủ ở ữ ệ ả ể ấ ứ ạ ể ổ ợ

th c g m IP, ISDN, FR và ATM.ứ ồ

VPNs Tunneling Protocol :

Có 3 d ng giao th c tunneling n i b t đ c s  d ng trong VPNs :ạ ứ ổ ậ ượ ử ụ

IP Security (IPSec) : Ð c phát tri n b i IETF, IPSec là m t chu n m  đ m b o ch c ch n quá trình trao đ i ượ ể ở ộ ẩ ở ả ả ắ ắ ổ

d  li u đ c an toàn và ph ng th c xác nh n ng i dùng qua m ng công c ng. Không gi ng v i nh ng k  ữ ệ ượ ươ ứ ậ ườ ạ ộ ố ớ ữ ỹthu t mã hoá khác, IPSec th c hi n   t ng th  7 trong mô hình OSI (Open System Interconnect), Vì th , chúng ậ ự ệ ở ầ ứ ế

có th  ch y đ c l p so v i các  ng d ng ch y trên m ng. Và vì th  m ng c a b n s  đ c b o m t h n mà ể ạ ộ ậ ớ ứ ụ ạ ạ ế ạ ủ ạ ẽ ượ ả ậ ơkhông c n dùng b t k  ch ng trình b o m t nào.ầ ấ ỳ ươ ả ậ

Point­to­point Tunneling Protocol (PPTP) : Phát tri n b i Microsoft, 3COM, và Ascend Communications, ể ởPPTP là m t s  ch n l a đ  thay th  cho IPSec. Tuy nhiên IPSec v n còn đ c s  d ng nhi u trong m t s  ộ ự ọ ự ể ế ẫ ượ ử ụ ề ộ ốTunneling Protocol. PPTP th c hi n   t ng th  2 (Data Link Layer).ự ệ ở ầ ứ

Layer 2 Tunneling Protocol (L2TP) : Ð c phát tri n b i Cisco System, L2TP đ c d  đ nh s  thay th  cho ượ ể ở ượ ự ị ẽ ếIPSec. Tuy nhiên IPSec v n chi m  u th  h n so v  b o m t trên Internet. L2TP là s  k t h p gi a Layer 2 ẫ ế ư ế ơ ề ả ậ ự ế ợ ữForwarding (L2F) và PPTP và đ c dùng đ  đóng gói các frame s  d ng giao th c Point­to­point đ  g i qua ượ ể ữ ụ ứ ể ởcác lo i m ng nh  X.25, FR, ATM.ạ ạ ư

Ghi chú : L2F là m t protocol đ c đăng ký đ c quy n b i Cisco System đ  đ m b o vi c v n chuy n d  li u ộ ượ ộ ề ở ể ả ả ệ ậ ễ ữ ệtrên m ng Internet đ c an toàn.ạ ượ

 Ph  thu c trong môi tr ng Internet.ụ ộ ườ

 Thi u s  h  tr  cho m t s  giao th c k  th a.ế ự ổ ợ ộ ố ứ ế ừ

 D  s  d ng.ễ ử ụ

 Scalability

 Hi u xu t.ệ ấ

 Qu n lý băng thông.ả

 L a ch n m t nhà cung c p d ch v  (ISP).ự ọ ộ ấ ị ụ

 B o v  m ng t  nh ng d  li u g i đi t  nhiên bên ngoài.ả ệ ạ ừ ữ ữ ệ ở ự

1.2  Các lo i VPN.ạ

VPNs nh m h ng vào 3 yêu c u c  b n sau đây :ằ ướ ầ ơ ả

 Có th  truy c p b t c  lúc nào b ng đi u khi n t  xa, b ng đi n tho i c m tay,ể ậ ấ ứ ằ ề ể ừ ằ ệ ạ ầ   và vi c liên l c gi a các ệ ạ ữnhân viên c a m t t  ch c t i các tài nguyên m ng.ủ ộ ổ ứ ớ ạ

 N i k t thông tin liên l c gi a các chi nhánh văn phòng t  xa.ố ế ạ ữ ừ

 Ð c đi u khi n truy nh p tài nguyên m ng khi c n thi t c a khách hàng, nhà cung c p và nh ng đ i t ng ượ ề ể ậ ạ ầ ế ủ ấ ữ ố ượquan tr ng c a công ty nh m h p tác kinh doanh.ọ ủ ằ ợ

D a trên nh ng nhu c u c  b n trên, ngày nay VPNs đã phát tri n và phân chia ra làm 3 phân lo i chính sau :ự ữ ầ ơ ả ể ạ

B ng vi c tri n khai Remote Access VPNs, nh ng ng i dùng t  xa ho c các chi nhánh văn phòng ch  c n cài ằ ệ ể ữ ườ ừ ặ ỉ ầ

đ t m t k t n i c c b  đ n nhà cung c p d ch v  ISP ho c ISP’s POP và k t n i đ n tài nguyên thông qua ặ ộ ế ố ụ ộ ế ấ ị ụ ặ ế ố ếInternet. Thông tin Remote Access Setup đ c mô t  b i hình v  sau :ượ ả ở ẽ

Nh  b n có th  suy ra t ng hình 1­3, thu n l i chính c a Remote Access VPNs :ư ạ ể ừ ậ ợ ủ

 S  c n thi t c a RAS và vi c k t h p v i modem đ c lo i tr ự ầ ế ủ ệ ế ợ ớ ượ ạ ừ

 S  c n thi t h  tr  cho ng i dung cá nhân đ c lo i tr  b i vì k t n i t  xa đã đ c t o đi u ki n thu n l iự ầ ế ổ ợ ườ ượ ạ ừ ở ế ố ừ ượ ạ ề ệ ậ ợ

b i ISPờ

 Vi c quay s  t  nh ng kho ng cách xa đ c lo i tr  , thay vào đó, nh ng k t n i v i kho ng cách xa s  ệ ố ừ ữ ả ượ ạ ừ ữ ế ố ớ ả ẽ

đ c thay th  b i các k t n i c c b ượ ế ở ế ố ụ ộ

 Gi m giá thành chi phí cho các k t n i v i kho ng cách xa.ả ế ố ớ ả

 Do đây là m t k t n i mang tính c c b , do v y t c đ  n i k t s  cao h n so v i k t n i tr c ti p đ n nh ng ộ ế ố ụ ộ ậ ố ộ ố ế ẽ ơ ớ ế ố ự ế ế ữkho ng cách xa.ả

 VPNs cung c p kh  năng truy c p đ n trung tâm t t h n b i vì nó h  tr  d ch v  truy c p   m c đ  t i thi uấ ả ậ ế ố ơ ở ổ ợ ị ụ ậ ở ứ ộ ố ể

nh t cho dù có s  tăng nhanh chóng các k t n i đ ng th i đ n m ng.ấ ự ế ố ồ ờ ế ạ

Ngoài nh ng thu n l i trên, VPNs cũng t n t i m t s  b t l i khác nh  :ữ ậ ợ ồ ạ ộ ố ấ ợ ư

 Remote Access VPNs cũng không b o đ m đ c ch t l ng ph c v ả ả ượ ấ ượ ụ ụ

 Kh  năng m t dả ấ ữ  li u là r t cao, thêm n a là các phân đo n c a gói d  li u có th  đi ra ngoài và b  th t ệ ấ ữ ạ ủ ữ ệ ễ ị ấthoát

 Do đ  ph c t p c a thu t toán mã hoá, protocol overhead tăng đáng k , đi u này gây khó khăn cho quá ộ ứ ạ ủ ậ ể ềtrình xác nh n. Thêm vào đó, vi c nén d  li u IP và PPP­based di n ra vô cùng ch m ch p và t i t ậ ệ ữ ệ ễ ậ ạ ồ ệ

 Do ph i truy n d  li u thông qua Internet, nên khi trao đ i các d  li u l n nh  các gói d  li u truy n thông, ả ề ữ ệ ổ ữ ệ ớ ư ữ ệ ềphim  nh, âm thanh s  r t ch m.ả ẽ ấ ậ

Intranet VPNs :

Intranet VPNs đ c s  d ng đ  k t n i đ n các chi nhánh văn phòng c a t  ch c đ n Corperate Intranet ượ ữ ụ ể ế ố ế ủ ổ ứ ế

(backbone router) s  d ng campus router, xem hình bên d i :ữ ụ ướ

Theo mô hình bên trên s  r t t n chi phí do ph i s  d ng 2 router đ  thi t l p đ c m ng, thêm vào đó, vi c ẽ ấ ố ả ữ ụ ể ế ậ ượ ạ ệtri n khai, b o trì và qu n lý m ng Intranet Backbone s  r t t n kém còn tùy thu c vào l ng l u thông trên ể ả ả ạ ẽ ấ ố ộ ượ ư

m ng đi trên nó và ph m vi đ a lý c a toàn b  m ng Intranet.ạ ạ ị ủ ộ ạ

Ð  gi i quy t v n đ  trên, s  t n kém c a WAN backbone đ c thay th  b i các k t n i Internet v i chi phí ể ả ế ấ ề ự ố ủ ượ ế ở ế ố ớ

th p, đi u này có th  m t l ng chi phí đáng k  c a vi c tri n khai m ng Intranet, xem hình bên d i :ấ ề ể ộ ượ ể ủ ệ ể ạ ướ 

Nh ng thu n l i chính c a Intranet setup d a trên VPN theo hình 1­5 : ữ ậ ợ ủ ự

 Hi u qu  chi phí h n do gi m s  l ng router đ c s  d ng theo mô hình WAN backboneệ ả ơ ả ố ượ ượ ữ ụ

 Gi m thi u đáng k  s  l ng h  tr  yêu c u ng i dùng cá nhân qua toàn c u, các tr m   m t s  remote ả ể ể ố ượ ổ ợ ầ ườ ầ ạ ở ộ ốsite khác nhau

 B i vì Internet ho t đ ng nh  m t k t n i trung gian, nó d  dàng cung c p nh ng k t n i m i ngang hàng.ở ạ ộ ư ộ ế ố ễ ấ ữ ế ố ớ

 K t n i nhanh h n và t t h n do v  b n ch t k t n i đ n nhà cung c p d ch v , lo i b  v n đ  v  kho ng ế ố ơ ố ơ ề ả ấ ế ố ế ấ ị ụ ạ ỏ ấ ề ề ảcách xa và thêm n a giúp t  ch c gi m thi u chi phí cho vi c th c hi n Intranet.ữ ổ ứ ả ể ệ ự ệ

Nh ng b t ữ ấ   l i chính k t h p v i cách gi i quy t : ợ ế ợ ớ ả ế

 B i vì d  li u v n còn tunnel trong su t quá trình chia s  trên m ng công c ng­Internet­và nh ng nguy c  ở ữ ệ ẫ ố ẽ ạ ộ ữ ơ

t n công, nh  t n công b ng t  ch i d ch v  (denial­of­service), v n còn là m t m i đe do  an toàn thông tin.ấ ư ấ ằ ừ ố ị ụ ẫ ộ ố ạ

 Kh  năng m t d  li u trong lúc di chuy n thông tin cũng v n r t cao.ả ấ ữ ệ ễ ẫ ấ

 Trong m t s  tr ng h p, nh t là khi d  li u là lo i high­end, nh  các t p tin mulltimedia, vi c trao đ i d  ộ ố ườ ợ ấ ữ ệ ạ ư ậ ệ ổ ữ

li u s  r t ch m ch p do đ c truy n thông qua Internet.ệ ẽ ấ ậ ạ ượ ề

 Do là k t n i d a trên Internet, nên tính hi u qu  không liên t c, th ng xuyên, và QoS cũng không đ c ế ố ự ệ ả ụ ườ ượ

đ m b o.ả ả

Extranet VPNs :

Không gi ng nh  Intranet và Remote Access­based, Extranet không hoàn toàn cách li t  bên ngoài (outer­ố ư ừworld), Extranet cho phép truy c p nh ng tài nguyên m ng c n thi t c a các đ i tác kinh doanh, ch ng h n nh  ậ ữ ạ ầ ế ủ ố ẳ ạ ưkhách hàng, nhà cung c p, đ i tác nh ng ng i gi  vai trò quan tr ng trong t  ch c.ấ ố ữ ườ ữ ọ ổ ứ

Figure 1­6: The traditional extranet setup

Nh  hình trên, m ng Extranet r t t n kém do có nhi u đo n m ng riêng bi t trên Intranet k t h p l i v i nhau ư ạ ấ ố ề ạ ạ ệ ế ợ ạ ớ

đ  t o ra m t Extranet. Ði u này làm cho khó tri n khai và qu n lý do có nhi u m ng, đ ng th i cũng khó khăn ể ạ ộ ề ể ả ề ạ ồ ờcho cá nhân làm công vi c b o trì và qu n tr  Thêm n a là m ng Extranet s  d  m  r ng do đi u này s  làm r i ệ ả ả ị ữ ạ ẽ ễ ở ộ ề ẽ ốtung toàn b  m ng Intranet và có th   nh h ng đ n các k t n i bên ngoài m ng. S  có nh ng v n đ  b n g p ộ ạ ể ả ưở ế ế ố ạ ẽ ữ ấ ề ạ ặ

ph i b t thình lình khi k t n i m t Intranet vào m t m ng Extranet. Tri n khai và thi t k  m t m ng Extranet cóả ấ ế ố ộ ộ ạ ể ế ế ộ ạ

th  là m t c n ác m ng c a các nhà thi t k  và qu n tr  m ng.ể ộ ơ ộ ủ ế ế ả ị ạ

M t s  thu n l i c a Extranet : ộ ố ậ ợ ủ

 Do ho t đ ng trên môi tr ng Internet, b n có th  l a ch n nhà phân ph i khi l a ch n và đ a ra ph ng ạ ộ ườ ạ ể ự ọ ố ự ọ ư ươpháp gi i quy t tu  theo nhu c u c a t  ch c.ả ế ỳ ầ ủ ổ ứ

 B i vì m t ph n Internet­connectivity đ c b o trì b i nhà cung c p (ISP) nên cũng gi m chi phí b o trì khi ở ộ ầ ượ ả ở ấ ả ảthuê nhân viên b o trì.ả

 D  dàng tri n khai, qu n lý và ch nh s a thông tin.ễ ể ả ỉ ữ

M t s  b t l i c a Extranet : ộ ố ấ ợ ủ

 S  đe d a v  tính an toàn, nh  b  t n công b ng t  ch i d ch v  v n còn t n t i.ự ọ ề ư ị ấ ằ ừ ố ị ụ ẫ ồ ạ

 Tăng thêm nguy hi m s  xâm nh p đ i v i t  ch c trên Extranet.ể ự ậ ố ớ ổ ứ

 Do d a trên Internet nên khi d  li u là các lo i high­end data thì vi c trao đ i di n ra ch m ch p.ự ữ ệ ạ ệ ổ ễ ậ ạ

 Do d a trên Internet, QoS cũng không đ c b o đ m th ng xuyên.ự ượ ả ả ườ

gi n thông qua m t m ng công c ng. Công ngh  VPN không ch  gi m chi phí cho vi c tri n khai m t h  th ng ả ộ ạ ộ ệ ỉ ả ệ ể ộ ệ ố

m ng v i đ  b o m t cao mà còn gi m thi u chi phí qu n lý. Nó cung c p tính d  dùng, có kh  năng m  r ng ạ ớ ộ ả ậ ả ể ả ấ ễ ả ở ộ

ph m vi, và hi u qu  v  v n đ  băng thông.ạ ệ ả ề ấ ề

VPN là m t phiên b n đã ch nh s a c a m ng riêng (private network) nh m t o đòn b y cho vi c thi t k  m ng ộ ả ỉ ữ ủ ạ ằ ạ ẩ ệ ế ế ạLAN ho c Intranet thông qua Internet và m t s  m ng công c ng khác nh m an toàn và kinh t  trong thông tin ặ ộ ố ạ ộ ằ ếliên l c. H u h t nh ng nhu c u VPN và nh ng nhu c u c a m t m ng riêng truy n th ng v  b n ch t là gi ng ạ ầ ế ữ ầ ữ ầ ủ ộ ạ ề ố ề ả ấ ốnhau, theo sau đây là nh ng nhu c u n i b c c a VPN :ữ ầ ổ ậ ủ

Internet đ c xem là m t môi tr ng không an toàn, d  li u truy n qua d  b  s  truy c p b t h p pháp và nguy ượ ộ ườ ữ ệ ề ễ ị ự ậ ấ ợ

hi m. S  ra đ i c a VPN, d a trên giao th c Tunneling đã làm gi m m t l ng đáng k  s  l ng r i ro không ể ự ờ ủ ự ứ ả ộ ượ ể ố ượ ủ

an toàn. Vì th , làm th  nào đ  b o đ m d  li u đ c an toàn qua VPN ? Làm th  nào đ  nh ng d  li u d  b  hế ế ể ả ả ữ ệ ượ ế ể ữ ữ ệ ễ ị ư

h ng tránh kh i s  truy c p không h p pháp và không an toàn ?   ch ng này chúng ta s  tìm hi u v  nó.ỏ ỏ ự ậ ợ Ơ ươ ẽ ể ề

D  li u truy n trên m ng th ng d  b  t n công b ng nhi u cách, sau đây là m t s  cách t n công ph  bi n :ữ ệ ề ạ ườ ễ ị ấ ằ ề ộ ố ấ ổ ếLàm gián đo n d ch v  m ng (Network service interruptions)ạ ị ụ ạ  : 

Th ng tho ng, các m i t n công t  bên ngoài cũng có m c đ  nguy hi m t ng đ ng v i b  t n công t  bên ỉ ả ố ấ ừ ứ ộ ể ươ ươ ớ ị ấ ừtrong, m t s  tài nguyên và d ch v  m ng có th  b  làm cho không s  d ng đ c trong m t th i gian dài. Trong ộ ố ị ụ ạ ể ị ử ụ ượ ộ ờ

tr ng h p này, toàn b  m ng c a b n s  không th  đ c truy c p b i ng i dùng.ườ ợ ộ ạ ủ ạ ẽ ể ượ ậ ở ườ

Ngăn Ch n D  Li uặ ữ ệ  (Data interception) : 

Khi trao đ i d  li u trên m ng, d  li u có th  b  ngăn ch n b i nh ng cá nhân không đ c phép. K t qu  là ổ ữ ệ ạ ữ ệ ể ị ặ ở ữ ượ ế ả

nh ng thông tin c n m t b  m t. Trong tr ng h p này, v  trí c a t  ch c b n s  có th  b  m t (trong v n đ  kinhữ ẩ ậ ị ấ ườ ợ ị ủ ổ ứ ạ ẽ ể ị ấ ấ ềdoanh và ti n b c) n u nh ng d  li u r i vào tay nh ng cánh tay ngoài ý mu n.ề ạ ế ữ ữ ệ ơ ữ ố

Ch nh S a Thông Tin ỉ ữ (Data modification) : 

Thông tin b  ch n có th  b  s a đ i và ng i nh n thông tin có th  s  nh n đ c nh ng thông tin sai l ch ho c ị ặ ể ị ữ ổ ườ ậ ể ẽ ậ ượ ữ ệ ặ

b  xáo tr n. Đi u này khi n cho t  ch c c a b n s  ph i m t m t s  ti n l n, đ c bi t là nh ng d  li u quan ị ộ ề ế ổ ứ ủ ạ ẽ ả ấ ộ ố ề ớ ặ ệ ữ ữ ệ

tr ng.ọ

Làm Gi  Thông Tin ả (Data fabrication) : 

Theo ki u này, nh ng ng i dùng không h p pháp cũng đ c xem nh  nh ng ng i dùng h p pháp và đáng ể ữ ườ ợ ượ ư ữ ườ ợtin. Sau khi truy c p vào h  th ng m ng, nh ng cá nhân này s  ph  bi n nh ng thông tin gi  m o và có h i đ n ậ ệ ố ạ ữ ẽ ổ ế ữ ả ạ ạ ế

nh ng ng i dùng khác trong m ng. Và cu i cùng có th  phái v  m t ph n ho c toàn b  h  th ng m ng.ữ ườ ạ ố ể ỡ ộ ầ ặ ộ ệ ố ạ

Figure 3­1: Generic implementation of user authentication and access control in VPNs

3.1 Các ph ng th c nh n d ng ng i dùng.ươ ứ ậ ạ ườ

C  ch  xác nh n ng i dùng th ng đ c tri n khai t i các đi m truy c p và đ c dùng đ  xác nh n cho ng i ơ ế ậ ườ ườ ượ ể ạ ể ậ ượ ể ậ ườdùng truy c p vào tài nguyên bên trong m ng. K t qu  là ch  có ng i dùng h p l  thì m i có th  truy c p vào ậ ạ ế ả ỉ ườ ợ ệ ớ ể ậbên trong m ng, đi u này làm gi m đáng k  s  truy c p b t h p pháp vào nh ng d  li u đ c l u tr  trên m ng.ạ ề ả ể ự ậ ấ ợ ữ ữ ệ ượ ư ữ ạ

M t s  cách xác nh n th ng đ c s  d ng riêng bi t ho c có th  đ c k t h p v i m t s  cách khác bao g m ộ ố ậ ườ ượ ử ụ ệ ặ ể ượ ế ợ ớ ộ ố ồ

nh ng cách sau đây :ữ

Login ID and password : Ph ng pháp này s  d ng c  ch  xác nh n ID và m t kh u c  b n c a h  th ng đ  ươ ử ụ ơ ế ậ ậ ẩ ơ ả ủ ệ ố ểxác nh n quy n truy c p c a ng i dùng t i các đi m VPN.ậ ề ậ ủ ườ ạ ể

S/Key password : Ph ng pháp này kh i t o m t S/KEY b ng cách l a ch n m t m t mã bí m t và m t con s  ươ ở ạ ộ ằ ự ọ ộ ậ ậ ộ ố

t  nhiên. S  t  nhiên này bao hàm c  s  l n c a m t secure hash function (MD4) s  đ c s  d ng vào m t kh uự ố ự ả ố ầ ủ ộ ẽ ượ ử ụ ậ ẩ

hí m t. Khi ng i dùng login vào h  th ng, máy ch  s  c p phát m t hi u l nh ki m soát. Ch ng trình máy ậ ườ ệ ố ủ ẽ ấ ộ ệ ệ ể ươkhách s  yêu c u nh p m t kh u bí m t, gây ra n­1 l n l p l i hàm băm đ n nó và g i tr  l i máy ch  Máy ch  ẽ ầ ậ ậ ẩ ậ ầ ặ ạ ế ở ả ạ ủ ủ

s   ng d ng hàm băm này vào thông tin đ c g i l i, n u c  hai giá tr  đ u gi ng nhau, ng i dùng s  đ c xácẽ ứ ụ ượ ở ạ ế ả ị ề ố ườ ẽ ượ

nh n thành công. Máy ch  s  l u l i thông tin mà ng i dùng g i cho và gi m b  đ m m t kh u.ậ ủ ẽ ư ạ ườ ử ả ộ ế ậ ẩ

D ch V  Qua S  K t N i T  Xa ị ụ ố ế ố ừ (RADIUS) : RADIUS là m t giao th c b o m t trên Internet khá m nh d a ộ ứ ả ậ ạ ựtrên mô hình Client/Server, phía client s  truy xu t vào m ng và RADIUS server là khúc m ng cu i s  xác nh nẽ ấ ạ ạ ố ẽ ậclient. Thông th ng, RADIUS server xác nh n ng i dùng b ng Username và Password mà nó l u tr  trong ườ ậ ườ ằ ư ữdanh sách s n có.ẵ

RADIUS cũng th c hi n vai trò nh  m t client khi xác nh n nh ng ng i dùng nh  là các h  đi u hành nh  ự ệ ư ộ ậ ữ ườ ư ệ ề ưUNIX, NT và NetWare, thêm n a RADIUS cũng đóng vai trò nh  m t client khi RADIUS này k t n i đ n ữ ư ộ ế ố ếRADIUS khác. Đ  an toàn thông tin h n trong quá trình trao đ i d  li u, d  li u th ng đ c mã hóa theo c  ể ơ ổ ữ ệ ữ ệ ườ ượ ơ

ch  xác nh n, ch ng h n nh  Password Authentication Protocol (PAP) và Challenge HandShake Authenticationế ậ ẳ ạ ưProtocol (CHAP)

Two­Factor Token­Based Technique : Gi ng nh  tên g i ám ch , k  ho ch này tri n khai ph ng pháp xác ố ư ọ ỉ ế ạ ễ ươ

nh n đôi đ  xác nh n nh ng tài li u đáng tin c a ng i dùng. Nó k t h p ti n ích m t c a token và m t c a ậ ể ậ ữ ệ ủ ườ ế ợ ệ ộ ủ ộ ủpassword. Trong su t quá trình x  lý, các thi t b  đi n t  ph n c ng c  b n ph c v  nh  token và ID duy nh t, ố ử ế ị ệ ử ầ ứ ơ ả ụ ụ ư ấ

ví d  nh  Personal Identification Number (PIN) đ c s  d ng nh  m t kh u. Theo truy n th ng, token s  là ụ ư ượ ử ụ ư ậ ẩ ề ố ẽthi t b  ph n c ng (có th  là m t th  card), nh ng m t s  nhà cung c p l i yêu c u s  d ng ph n m m đ  làm ế ị ầ ứ ể ộ ẻ ư ộ ố ấ ạ ầ ử ụ ầ ề ểtoken

Chú thích : B n có th  so sách tính h u d ng c a ph ng pháp xác nh n Two­Factor Token­Based khi b n rút ạ ể ữ ụ ủ ươ ậ ạ

ti n t  Automated Teller Machine (ATM). B n ch  có th  rút ti n thành công khi b n cung c p ph n nh n d ng ề ừ ạ ỉ ể ề ạ ấ ầ ậ ạ

c a b n. B n s  làm vi c này b ng cách s  d ng m t ATM card đ  truy c p vào tài kho n c a b n (hardware­ủ ạ ạ ẽ ệ ằ ử ụ ộ ể ậ ả ủ ạbased identification) cùng v i m t m t kh u bí m t ho c m t PIN. Ch  v i nh ng nhân t  này k t h p v i nhau ớ ộ ậ ẩ ậ ặ ộ ỉ ớ ữ ố ế ợ ớ

b n m i có th  truy nh p vào tài kho n c a b n.ạ ớ ể ậ ả ủ ạ

3.2 Đi u khi n quy n truy c p (Controlling Access).ề ể ề ậ

Sau khi ng i dùng đã đ c xác nh n, m c đ nh anh/ch   y s  đ c phép truy c p vào nh ng tài nguyên, d ch ườ ượ ậ ặ ị ị ấ ẽ ượ ậ ữ ị

v  và nh ng  ng d ng đ c đ t trên m ng. Đi u này ch ng t  r ng có m t m i đe d a l n t  phía ng i dùng, ụ ữ ứ ụ ượ ặ ạ ề ứ ỏ ằ ộ ố ọ ớ ừ ườcho dù đã đ c u  nhi m, có th  c  ý ho c không c  ý làm xáo tr n d  li u trên m ng. B ng cách sàn l c tài ượ ỷ ệ ể ố ặ ố ộ ữ ệ ạ ằ ọnguyên b n có th  h n ch  đ c vi c này.ạ ể ạ ế ượ ệ

Controlling Access Rights cũng là m t ph n tích h p c a controlling access. M i đe d a b o m t có th  đ c ộ ầ ợ ủ ớ ọ ả ậ ể ượ

gi m xu ng n u ta gi i h n m t s  quy n truy c p đ i v i ng i dùng. Ví d  nh  ng i dùng ch  đ c phép ả ố ế ớ ạ ộ ố ề ậ ố ớ ườ ụ ư ườ ỉ ượ

đ c d  li u còn ng i qu n tr  có quy n ch nh s a, xoá d  li u.ọ ữ ệ ườ ả ị ề ỉ ữ ữ ệ

Ngày nay, m t s  k  thu t c i ti n đã cho phép đ  an toàn cao h n do vi c k t h p nhi u y u t  nh  đ a ch  IP ộ ố ỹ ậ ả ế ộ ơ ệ ế ợ ề ế ố ư ị ỉngu n và đích, đ a ch  c ng, và group, ngày, gi , th i gian và các  ng d ng v.v…ồ ị ỉ ổ ờ ờ ứ ụ

3.3 Mã hóa d  li u.ữ ệ

Mã hóa ho c m t mã hóa d  li u là m t trong nh ng thành ph n c  b n c a VPN security. Đây là c  ch  ặ ậ ữ ệ ộ ữ ầ ơ ả ủ ơ ế

chuy n đ i d  li u sang m t đ nh d ng khác không th  đ c đ c, vi d  nh  ciphertext (văn b n vi t thành m t ể ổ ữ ệ ộ ị ạ ể ọ ượ ụ ư ả ế ậmã), đ  có th  ngăn c n nh ng truy c p b t h p pháp khi d  li u trao đ i trong môi tr ng m ng không an toàn.ể ể ả ữ ậ ấ ợ ữ ệ ổ ườ ạ

Mã hóa d  li u ngăn ch n đ c các vi c sau :ữ ệ ặ ượ ệ

 Nghe tr m và xem lén d  li u.ộ ữ ệ

 Ch nh s a và đánh c p lén d  li u.ỉ ữ ắ ữ ệ

 Gi  m o thông tin.ả ạ

 Data non­repudiation

 S  gián đo n các d ch v  m ng.ự ạ ị ụ ạ

Khi nh n đ c gói tin, ng i nh n s  gi i mã d  li u l i d ng c  b n ban đ u. Cho dù d  li u có b  ch n trong ậ ượ ườ ậ ẽ ả ữ ệ ạ ạ ơ ả ầ ữ ệ ị ặ

su t quá trình trao đ i d  li u.ố ổ ữ ệ

 Figure 3­2: The traditional encryption model

M t h  th ng mã hóa đ c phân lo i d a vào con s  c a khoá mà nó dùng. M t khoá có th  là m t con s , m t ộ ệ ố ượ ạ ự ố ủ ộ ể ộ ố ộ

t , ho c m t c m t  đ c dùng vào m c đích mã hóa và gi i mã d  li u.ừ ặ ộ ụ ừ ượ ụ ả ữ ệ

3.3.1 H  th ng mã hóa đ i x ng (Symmetric Cryptosystems)ệ ố ố ứ

Symmetric cryptosystems d a trên m t khóa đ n, đó là m t chu i ng n v i chi u dài không thay đ i. Do đó, ự ộ ơ ộ ỗ ắ ớ ề ổ

ph ng pháp mã hóa này đ c xem nh  là ươ ượ ư single­key encryption. Khoá th ng là khóa riêng (ho c b o m t) và ườ ặ ả ậ

đ c dùng đ  mã hóa cũng nh  gi i mã.ượ ể ư ả

Ghi chú : Trong m t s  tài li u, symmetric cryptosystem cũng đ c xem nh  khóa scryptosystems riêng ho c bíộ ố ệ ượ ư ặ

m t và k  thu t này cũng đ c xem nh  khóa m t mã riêng ho c khóa m t mã bí m t.ậ ỹ ậ ượ ư ậ ặ ậ ậ

Tr c khi hai bên trao đ i d  li u, khóa ph i đ c chia s  dùng chung cho c  2 bên. Ng i g i s  mã hóa thôngướ ổ ữ ệ ả ượ ẽ ả ườ ử ẽtin b ng khóa riêng và g i thông tin đ n ng i. Trong quá trình nh n thông tin, ng i nh n s  d ng cùng m t ằ ử ế ườ ậ ườ ậ ủ ụ ộkhóa đ  gi i mã thông đi p.ể ả ệ

Figure 3­3: The symmetric cryptosystem

Ph  thu c vào chi u dài c a khóa, có r t nhi u thu t gi i mã hóa đ i x ng đã đ c phát tri n cho đ n nay. Sau ụ ộ ề ủ ấ ề ậ ả ố ứ ượ ể ếđây là m t s  thu t gi i th ng đ c s  d ng trong VPN :ộ ố ậ ả ườ ượ ử ụ

 Tiêu chu n mã hóa d  li u (Data Encryption Standard (DES)).ẩ ữ ệ  Nguyên b n DES đ  ra gi i pháp cho ả ề ả

m t khóa có chi u dài lên đ n 128 bit. Tuy nhiên, kích th c c a khóa đã gi m xu ng còn 56 bit b i chính ph  ộ ề ế ướ ủ ả ố ở ủHoa K  trong vi c n  l c tìm ra thu t gi i nhanh h n. Vi c gi m chi u dài khóa xu ng, ph  thu c vào t c đ  xỳ ệ ổ ự ậ ả ơ ệ ả ề ố ụ ộ ố ộ ử

lý c a b  vi x  lý. Trong ph ng pháp t n công Brute Force, các khóa s  phát sinh ng u nhiên và đ c g i đ n ủ ộ ử ươ ấ ẽ ẩ ượ ử ế

đo n văn b n nguyên m u cho t i khi xác đ nh đ c t  khóa chính xác. V i nh ng khóa có kích th c nh , s  ạ ả ẩ ớ ị ượ ừ ớ ữ ướ ỏ ẽ

B  x  lý th c hi n các b c sau : khóa đ u tiên dùng đ  mã hóa d  li u. Sau đó, khóa th  hai s  dùng đ  gi i ộ ử ự ệ ướ ầ ể ữ ệ ứ ẽ ể ả

mã d  li u v a đ c mã hóa. Cu i cùng, khóa th  ba s  mã hóa l n th  hai. Toàn b  quá trình x  lý c a 3DES ữ ệ ừ ượ ố ứ ẽ ầ ứ ộ ử ủ

t o thành m t thu t gi i có đ  an toàn cao. Nh ng b i vì đây là m t thu t gi i ph c t p nên th i gian th c hi n ạ ộ ậ ả ộ ư ở ộ ậ ả ứ ạ ờ ự ệ

s  lâu h n, g p 3 l n so v i ph ng pháp DES.ẽ ơ ấ ầ ớ ươ

 Ron's Code 4 (RC4). Đ c phát tri n b i Ron Rivest, thu t gi i này s  d ng nh ng t  khóa v i chi u dài ượ ể ở ậ ả ử ụ ữ ừ ớ ề

có th  bi n đ i lên đ n 256 bytes. B i vì chi u dài c a khóa, RC4 đ c phân lo i là m t c  ch  mã hóa m nh. ể ế ổ ế ở ề ủ ượ ạ ộ ơ ế ạ

Nó cũng t ng đ i khá nhanh. RC4 t o m t dòng bytes ng u nhiên và XORs chúng v i văn b n nguyên m u. ươ ố ạ ộ ẩ ớ ả ẩ

B i vì các bytes đ c phát sinh ng u nhiên, RC4 đòi h i m t khóa m i cho m i l n g i thông tin ra ngoài.ở ượ ẩ ỏ ộ ớ ổ ầ ở

H  th ng mã hóa đ ng b  đ a ra 2 v n đ  chính. Đ u tiên, b i vì m t khóa v a đ c dùng đ  mã hóa v a dùng ệ ố ồ ộ ư ấ ề ầ ở ộ ừ ượ ể ừ

đ  giể ả  mã,  n u nó b t đ u tr  thành k  xâm nh p, thì t t c  nh ng thông tin s  d ng khóa này s  b  hu  Vì th ,ế ắ ầ ở ẻ ậ ấ ả ữ ữ ụ ẽ ị ỷ ếkhóa nên th ng xuyên thay đ i theo đ nh k ườ ổ ị ỳ

M t v n đ  khác là khi h  th ng mã hóa đ ng b  x  lý m t l ng thông tin l n, vi c qu  lý các khóa s  tr  ộ ấ ề ệ ố ồ ộ ữ ộ ượ ớ ệ ả ẽ ởthành m t công vi c vô cùng khó khăn. K t h p v i vi c thi t l p các c p khóa, phân ph i, và thay đ i theo ộ ệ ế ợ ớ ệ ế ặ ặ ố ổ

đ nh k  đ u đòi h i th i gian và ti n b c.ị ỳ ề ỏ ờ ề ạ

H  h ng mã hóa đ i x ng đã gi i quy t v n đ  đó b ng vi c đ a ra h  th ng mã hóa đ i x ng. Đ ng th i, h  ệ ố ố ứ ả ế ấ ề ằ ệ ư ệ ố ố ứ ồ ờ ọcũng tăng tính năng b o m t trong su t quá trình chuy n v n. Chúng ta s  đ c tham kh o thêm v  h  th ng mãả ậ ố ể ậ ẽ ượ ả ề ệ ốhóa b t đ i x ng   ph n sau.ấ ố ứ ở ầ

3.3.2 H  Th ng Mã Hóa B t Đ i X ng (Asymmetric Cryptosystems).ệ ố ấ ố ứ

Thay vì s  d ng m t khóa đ n trong h  th ng mã hóa đ i x ng, h  th ng mã hóa b t đ i x ng s  d ng m t c p ử ụ ộ ơ ệ ố ố ứ ệ ố ấ ố ứ ử ụ ộ ặkhóa có quan h  toán h c. M t khóa là riêng t , ch  đ c chính ch  nhân. Khóa th  hai thì đ c ph  bi n, công ệ ọ ộ ư ỉ ượ ủ ứ ượ ổ ế

c ng và phân ph i t  do. Khóa công c ng thì đ c dùng đ  mã hóa và ng c l i khóa riêng thì đ c dùng đ  ộ ố ự ộ ượ ể ượ ạ ượ ể

3. Thông đi p s  đ c mã hóa b ng khóa v a nh n đ c.ệ ẽ ượ ằ ừ ậ ượ

4. Sau đó thông đi p mã hóa s  đ c g i đ n ng i nh n.ệ ẽ ượ ử ế ườ ậ

5. Trong qua trình nh n thông đi p mã hóa, bên nh n s  phát sinh m t khóa chung m t khác cũng b ng thao ậ ệ ậ ẽ ộ ậ ằtác t ng t  g p chính khóa riêng c a mình v i khóa chung c a bên g i.ươ ự ộ ủ ớ ủ ử

Gi  đ nh c  b n c a thu t toán này là n u b t k  m t ai b t đ c thông đi p mã hóa, ng i đó cũng không th  ả ị ơ ả ủ ậ ế ấ ỳ ộ ắ ượ ệ ườ ểnào gi i mã đ c b i vì anh ho c cô ta không x  lý khóa riêng c a bên nh n đ c (khóa riêng c a anh ho c cô ả ượ ở ặ ữ ủ ậ ượ ủ ặta). D  li u đ c trao đ i d a trên thu t toán Diffie­Hellman đ c mô t    hình 3­4.ữ ệ ượ ổ ự ậ ượ ả ở

M c dù thu t toán DH có m t đ  an toàn cao h n so v i h  th ng mã hóa đ i x ng, nh ngặ ậ ộ ộ ơ ớ ệ ố ố ứ ư   cũng g p m t s  v nặ ộ ố ấ

đ  khó khăn. Ph i đ m b o ch c ch n r ng khóa công c ng ph i đ c trao đ i tr c khi quá trình trao đ i d  ề ả ả ả ắ ắ ằ ộ ả ượ ổ ướ ổ ữ

li u th c s  đ c xác đ nh. Cho ví d  : n u 2 bên trao đ i khóa công c ng cho nhau qua môi tr ng không an ệ ự ự ượ ị ụ ế ổ ộ ườtoàn, nh  Internet, đi u đó có th  làm cho khóa công c ng có th  b  b t gi  tr c b i m t ng i xâm ph m nào ư ề ể ộ ể ị ắ ữ ướ ở ộ ườ ạ

đó, sau đó ng i này s  g i khóa công c ng c a mình cho c  hai bên đ u cu i đang th c hi n trao đ i . Trong ườ ẽ ử ộ ủ ả ầ ố ự ệ ổ

tr ng h p này, ng i xâm nh p s  d  dàng m c vào nghe lén thông tin c a hai bên đ u cu i b i vì c  hai bên ườ ợ ườ ậ ẽ ễ ắ ủ ầ ố ở ả

đ u cu i đ u trao đ i d  li u thông qua khóa công c ng c a ng i xâm ph m. Đây là m t d ng xâm nh p đ c ầ ố ề ổ ữ ệ ộ ủ ườ ạ ộ ạ ậ ượ

bi t nh  m t ki u t n công Man­in­the­Middle.ế ư ộ ể ấ

Thu t toán Rivest Shamir Adleman (RSA), s  đ c tham kh o ti p theo sau s  gi i quy t hi u qu  ph ng phápậ ẽ ượ ả ế ẽ ả ế ệ ả ươ

t n công Man­in­the­Middle mà đã n y ra trong thu t toán DH. Thu t toán RSA n i lên nh  là m t c  ch  mã ấ ả ậ ậ ổ ư ộ ơ ếhóa b t đ i x ng khá m nh. ấ ố ứ ạ

3.3.4 Thu t toán Rivest Shamir Adleman (RSA)ậ

Thu t toán RSA tri n khai quá trình xác nh n b ng cách s  d ng ch  ký đi n t  theo các b c sau :ậ ể ậ ằ ử ụ ữ ệ ử ướ

1. Khóa công c ng c a ng i g i đ c yêu c u và đ c dùng cho ng i nh n và sau đó đ c chuy n ộ ủ ườ ử ượ ầ ượ ườ ậ ượ ễ

h ng v  phía tr c (forward). ướ ề ướ

2. Ng i g i s  d ng hàm băm đ  làm gi m kích th c m u tin g c. Thông đi p t ng h p thì đ c hi u ườ ử ử ụ ể ả ướ ẩ ố ệ ổ ợ ượ ể

nh  là m t thông đi p phân lo i (ư ộ ệ ạ message digest (MD)).

3. Ng i g i mã hóa thông đi p phân lo i b ng khóa riêng c a nó đ c rút ra t  s  phát sinh ch  ký đi n ườ ử ệ ạ ằ ủ ượ ừ ự ữ ệ

t  đ c nh t. ử ộ ấ

4. Thông đi p và ch  ký đi n t  đ c k t h p và chuy n h ng đ n ng i nh n. ệ ữ ệ ử ượ ế ợ ễ ướ ế ườ ậ

5. Trong lúc nh n thông đi p mã hóa, ng i nh n ph c h i l i thông đi p phân lo i b ng cách s  d ng ậ ệ ườ ậ ụ ồ ạ ệ ạ ằ ử ụcùng m t hàm băm nh  ng i g i. ộ ư ườ ử

6. Ng i nh n sau đó gi i mã ch  ký đi n t  b ng cách s  d ng khóa công c ng c a ng i g i. ườ ậ ả ữ ệ ử ằ ử ụ ộ ủ ườ ử

7. Ng i nh n sau đó s  so sánh thông đi p phân lo i v a đ c ph c h i (b c 5) và thông đi p phân lo i ườ ậ ẽ ệ ạ ừ ượ ụ ồ ướ ệ ạ

nh n đ c t  ch  ký đi n t  (b c 6). N u c  hai đ ng nh t, t c là d  li u không b  ch n đ ng, gi  m o ậ ượ ừ ữ ệ ử ướ ế ả ồ ấ ứ ữ ệ ị ặ ứ ả ạ

ho c ch nh s a trong su t quá trình trao đ i. Ng c l i, d  li u s  không đ c ch p nh n, b  t  ch i.ặ ỉ ử ố ổ ượ ạ ữ ệ ẽ ượ ấ ậ ị ừ ố

 Figure 3­5: Data exchange as defined by the RSA algorithm

RSA b o đ m an toàn và b o m t trong chuy n đi c a d  li u b i vì ng i nh n ki m tra s  đúng đ n c a d  ả ả ả ậ ế ủ ữ ệ ở ườ ậ ể ự ắ ủ ữ

li u qua 3 l n (b c 5, 6 và 7). RSA cũng làm đ n gi n hóa công vi c qu n lý khóa. Trong cách mã hóa đ i ệ ầ ướ ơ ả ệ ả ố

x ng,ứ   n2 khóa đ c yêu c u n u trong quá trình trao đ i có n th c th  B ng cách so sánh, cách mã hóa b t đ i ượ ầ ế ổ ự ể ằ ấ ố

x ng ch  đòi h i ứ ỉ ỏ 2 * n khóa. 

Nh  b n có th  nh n xét, c  hai quá trình gia d ch đ i x ng và b t đ i x ng đ u d a trên c  s  c a m i quan h  ư ạ ể ậ ả ị ố ứ ấ ố ứ ề ự ơ ở ủ ố ệ

y nhi m m t chi u

ủ ệ ộ ề   (one­way trust relationship). Public Key Infrastructure (PKI), là m t khía c nh khác, c i ộ ạ ả

ti n cách  y nhi m gi a hai th c th  giao ti p, đ  b o đ m tính xác th c c a các th c th  có liên quan và b o ế ủ ệ ữ ự ể ế ể ả ả ự ủ ự ể ả

đ m ch c ch n tính b o m t cho các phiên trao đ i d  li u trên Internet (VPN).ả ắ ắ ả ậ ổ ữ ệ

3.4 Public Key Infrastructure

PKI là m t khuôn kh  c a nh ng chính sách đ  qu n lý nh ng khóa và thi t l p m t ph ng pháp an toàn cho ộ ổ ủ ữ ể ả ữ ế ậ ộ ươ

s  trao đ i d  li u. Đ  c i ti n vi c qu n lý các khóa và tính b o m t cao trong các cu c trao đ i d  li u. M t ự ổ ữ ệ ể ả ế ệ ả ả ậ ộ ổ ữ ệ ộPKI đ c d a trên khuôn kh  bao g m nh ng chính sách và th  t c đ c h  tr  b i các tài nguyên ph n c ng ượ ự ổ ồ ữ ủ ụ ượ ổ ợ ở ầ ứ

và ph n m m. Nh ng ch c năng chính c a PKI sau đây :ầ ề ữ ứ ủ

 Phát sinh m t c p khóa riêng và khóa chung cho PKI client. ộ ặ

 T o và xác nh n ch  ký đi n t  ạ ậ ữ ệ ử

 Đăng ký và xác nh n nh ng ng i dùng m i. ậ ữ ườ ớ

 C p phát ch ng nh n cho ng i dùng. ấ ứ ậ ườ

 Đánh d u nh ng khóa đã c p phát và b o trì quá trình s  d ng c a m i khóa (đ c dùng đ  tham kh o ấ ữ ấ ả ử ụ ủ ổ ượ ể ả

Nh  đã nói   ph n tr c, PKI đ a ra 4 ch c năng b o m t chính : tính b o đ m(confidentiality), tính nguyên ư ở ầ ướ ư ứ ả ậ ả ả

v n (integrity), tính xác th c (authenticity), và không t  ch i. M i b c trong quá trình trao đ i d a trên PKI ẹ ự ừ ố ổ ướ ổ ự

l p l i m t ho c nhi u l n nh ng đ c tính b o m t. Bao g m m t s  b c sau :ặ ạ ộ ặ ề ầ ữ ặ ả ậ ồ ộ ố ướ

1 Key pair generation. Tr c khi ng i g i chuy n d  li u đ n cho ng i nh n mong mu n, nó báo cho ướ ườ ử ể ữ ệ ế ườ ậ ố

ng i nh n bi t ý đ nh mu n trao đ i d  li u. K t qu  là, c  hai phía đ u phát sinh 1 c p khoá t o nên ườ ậ ế ị ố ổ ữ ệ ế ả ả ề ặ ạ

m t khóa riêng và m t khóa chung. Đ u tiên, khóa riêng phát sinh ra tr c. Sau đó, khóa chung t ng ộ ộ ầ ướ ươ

ng s  đ c t o b ng cách áp d ng hàm băm m t chi u đ i v i khóa riêng. 

Ghi chú :

Trong PKI transactions cũng nh  trong RSA­based transactions, khóa riêng đ u đ c dùng đ  ký hi u thông tin.ư ề ượ ể ệKhóa chung,   m t khía c nh khác, đ c dùng đ  xác nh n ch  ký. ở ộ ạ ượ ể ậ ữ

2 Quá trình phát sinh ch  ký đi n t  (Digital Signature generation).ữ ệ ử  Sau khi c p khóa đã đ c t o, ặ ượ ạ

m t ch  ký đi n t  duy nh t cũng đ c t o ra. Ch  ký này đ c dùng đ  nh n d ng d  li u c a ng i ộ ữ ệ ử ấ ượ ạ ữ ượ ể ậ ạ ữ ệ ủ ườ

g i. Đ  t o ra ch  ký, đ u tiên thông đi p c  b n s  b  băm ra.ử ể ạ ữ ầ ệ ơ ả ẽ ị   Nói cách khác, m t hàm băm đ c áp ộ ượ

d ng vào thông đi p c  b n. Quá trình x  lý hàm băm này t o ra m t thông đi p phân lo i, s  đ c mã ụ ệ ơ ả ữ ạ ộ ệ ạ ẽ ượhóa sau đó b ng khóa riêng c a ng i g i. K t qu  đ c bi t nh  m t ch  ký đi n t ằ ủ ườ ử ế ả ượ ế ư ộ ữ ệ ử

3 Mã hóa thông đi p và g n ch  ký đi n tệ ắ ữ ệ ử  (Message encryption and digital signature application). Sau khi m t ch  ký đi n t  đ c hình thành, thông đi p c  b n đ c mã hóa b ng khóa chung c a ộ ữ ệ ử ượ ệ ơ ả ượ ằ ủ

ng i g i. K  ti p, ch  ký đ c t o tr c đó s  đ c g n kèm vào thông đi p mã hóa. ườ ử ế ế ữ ượ ạ ướ ẽ ượ ắ ệ

4 Mã hóa thông đi p và g i khóa chung c a ng i g i đ n ng i nh n.ệ ử ủ ườ ử ế ườ ậ  Thông đi p đã đ c mã hóa ệ ượsau đó s  đ c chuy n đ n ng i nh n, kèm v i khóa chung c a ng i g i. Thay vì chuy n khóa chung ẽ ượ ể ế ườ ậ ớ ủ ườ ử ể

d i d ng văn b n thu n túy, đ u tiên khóa chung s  đ c mã hóa v i khóa chung c a ng i nh n. Đ  ướ ạ ả ầ ầ ẽ ượ ớ ủ ườ ậ ể

gi i mã khóa chung đã đ c mã hóa, ng i nh n ph i dùng chính khóa riêng c a mình. B i vì khóa ả ượ ườ ậ ả ủ ởriêng c a ng i nh n ch  có m i ng i nh n m i bi t, kh  năng mà k  xâm nh p b t h p pháp thay đ i ủ ườ ậ ỉ ỗ ườ ậ ớ ế ả ẻ ậ ấ ợ ổkhóa chung, là r t nh  Khóa chung c a ng i g i cũng đ c xem nh  m t phiên khóa (session key). ấ ỏ ủ ườ ử ượ ư ộ

5 Quá trình nh n thông đi p và g i s  ki m ch ng xác nh n.ậ ệ ử ự ể ứ ậ  Trong quá trình nh n thông đi p mã hóa ậ ệ

và khóa chung phía trên. Ng i nh n có th  đòi h i CA t ng  ngườ ậ ể ỏ ươ ứ   đ  xác nh n ng i g i. CA s  làm ể ậ ườ ử ẽ

vi c này b ng cách xác nh n ch  ký đi n t  đ c g n kèm theo thông đi p và thông báo v i ng i nh n ệ ằ ậ ữ ệ ử ượ ắ ệ ớ ườ ậ

k t qu  N u ch  ký đ c ch ng nh n thành công, ng i nh n ti p t c quá trình x  lý gi i mã thông ế ả ế ữ ượ ứ ậ ườ ậ ế ụ ữ ả

đi p. N u không thì, thông đi p nh n đ c s  b  lo i b  và quá trình giao d ch (VPN session) k t thúc. ệ ế ệ ậ ượ ẽ ị ạ ỏ ị ế

6 Gi i mã thông đi p.ả ệ  Sau khi nh n d ng ng i g i thành công, ng i nh n s  gi i mã thông đi p. Đ  ậ ạ ườ ử ườ ậ ẽ ả ệ ểlàm vi c này, đ u tiên ng i nh n s  gi i mã khóa chung c a ng i g i b ng cách s  d ng chính khóa ệ ầ ườ ậ ẽ ả ủ ườ ử ằ ử ụriêng c a mình. Khi khóa chung c a ng i g i đ c l y l i thành công, ng i nh n dùng nó đ  gi i mã ủ ủ ườ ử ượ ấ ạ ườ ậ ể ảthông đi p.ệ

7 Ki m tra n i dung thông đi p. ể ộ ệ Cu i cùng, ng i nh n xác nh n n i dung c a thông đi p v a nh n. ố ườ ậ ậ ộ ủ ệ ừ ậ

Đ u tiên, ch  ký đi n t  đ c gi i mã b ng cách s  d ng khóa chung c a ng i g i và thông đi p phân ầ ữ ệ ử ượ ả ằ ử ụ ủ ườ ử ệ

lo i đ c ph c h i. Thông đi p gi i mã sau đó đ c băm b ng cách s  d ng hàm băm và m t thông ạ ượ ụ ồ ệ ả ượ ằ ử ụ ộ

đi p phân lo i m i đ c trích ra. Sau đó so sánh thông đi p phân lo i v a nh n và thông đi p phân lo i ệ ạ ớ ượ ệ ạ ừ ậ ệ ạ

v a m i đ c phát sinh. N u chúng t ng đ ng, d  li u s  không b  ch n và làm xáo tr n trong lúc trao ừ ớ ượ ế ươ ồ ữ ệ ẽ ị ặ ộ

đ i.ổ

3.4.3 Tri n Khai PKIể

Nh  b n đã bi t, Cas giúp thi t l p cho vi c nh n d ng c a các th c th  giao ti p v i nhau đ c đúng đ n. Tuy ư ạ ế ế ậ ệ ậ ạ ủ ự ể ế ớ ượ ắnhiên, CAs không ch  ch ng nh n cho PKI client, mà còn cho nh ng CAs khác b ng cách c p phát nh ng ỉ ứ ậ ữ ằ ấ ữ

ch ng nh n s  đ n chúng. Nh ng CAs đã đ c ch ng nh n, The verified CAs, l n l t có th  ch ng nh n cho ứ ậ ố ế ữ ượ ứ ậ ầ ượ ế ứ ậ

nh ng CAs khác và chu i m c xích này s  ti p t c cho đ n khi m i th c th  có th   y quy n cho nh ng th c ữ ổ ắ ẽ ế ụ ế ỗ ự ể ể ủ ề ữ ự

th  khác có liên quan trong quá trình giao d ch. Chu i ch ng nh n này g i là ể ị ổ ứ ậ ọ certification path và s  s p x p ự ắ ế

c a nh ng CAs trong certification path thì đ c g i là ủ ữ ượ ọ PKI chitecture.

C u trúc PKIấ   bao g m m t s  lo i chính sau đây : ồ ộ ố ạ

 Single CA architecture 

 Trust List architecture 

 Hierarchical architecture 

 Mesh architecture 

 Hybrid architecture 

3.4.4 Single CA Architecture

Single CA architecture ch  đ n gi n là m t c u trúc PKI. Nhỉ ơ ả ộ ấ ư  tên g i ám ch , c u trúc này d a trên m t CA ọ ỉ ấ ự ộ

đ n, mà dùng đ  c p phát ch ng nh n, xác th c PKI clients, và khi c n thi t thu h i l i ch ng nh n.ơ ể ấ ứ ậ ự ầ ế ồ ạ ứ ậ   T t c  ấ ả

nh ng th c th  c  b n đ u có m i quan h   y nhi m v i CA này. B i vì s  thi u v ng c a CA trong mô hình, ữ ự ể ơ ả ề ố ệ ủ ệ ớ ở ự ế ắ ủ

c u trúc này không h  tr  quan h   y nhi m CA. ấ ổ ợ ệ ủ ệ

Figure 3­7: The Single CA architecture of a PKI framework

C u trúc CA đ n ho t đ ng t t đ i v i các t  ch c nh  b i vì s  PKI client t ng đ i th p, và vi c qu n lý ấ ơ ạ ộ ố ố ớ ổ ứ ỏ ở ố ươ ố ấ ệ ả

nh ng client này thì không đòi h i m t nhi u th i gian.ữ ỏ ấ ề ờ

3.4.5 Trust List Architecture

M t khi s  PKI client trong t  ch c tăng lên, vi c qu n lý các ch ng nh n và s  xác minh nh n bi t b t đ u ộ ố ổ ứ ệ ả ứ ậ ự ậ ế ắ ầ

ph c t p và đòi h i th i gian cho m t CA đ n. Trong tr ng h p này có th  đ c làm đ n gi n hóa b ng vi c ứ ạ ỏ ờ ộ ơ ườ ợ ể ượ ơ ả ằ ệ

đ a nhi u CAs vào bên trong c u trúc.ư ề ấ

V i nhi u CAs, m t PKI client đ n có th  yêu c u ch ng nh n t  nhi u h n v i m t CA. can request ớ ề ộ ơ ể ầ ứ ậ ừ ề ơ ớ ộ

certificates from more than one CA. K t qu  là m i client ph i n m gi  m t danh sách các m i quan h   y thác ế ả ỗ ả ắ ữ ộ ố ệ ủ

v i t t c  các CAs trong c  s  h  t ng. ớ ấ ả ơ ở ạ ầ

B n có th  chú ý vào hình 3­8, c u trúc này không h  tr  quan h   y thác CA. ạ ể ấ ổ ợ ệ ủ

3.4.6 Hierarchical Architecture

Hierarchical architecture là m t c u trúc PKI ph  bi n th ng đ c tri n khai và đ c thuê trong nh ng t  ộ ấ ổ ế ườ ượ ể ượ ữ ổ

ch c có quy mô l n. Không gi ng nh ng c u trúc tr c đây, mô hình này d a trên m i quan h   y thác gi a ứ ớ ố ữ ấ ướ ự ố ệ ủ ữcác CAs khác nhau bên trong mô hình

Gi ng nh  tên g i ám ch , CAs đ c s p x p có c p b c và đ c chia s  m t ki u d ng ph  thu c c p trên ố ư ọ ỉ ượ ắ ế ấ ậ ượ ẽ ộ ể ạ ụ ộ ấ("superior­subordinate") c a m i quan h   y thác. CA trên cùng (trên đ nh) đ c đ  c p nh  CA g c và đ c ủ ố ệ ủ ỉ ượ ề ậ ư ố ượxem xét là đi m xu t phát c a mô hình. Nó c p phát các ch ng nh n và xác nh n s  nh n bi t CAs c p d i c aể ấ ủ ấ ứ ậ ậ ự ậ ế ấ ướ ủ

nó. Các CAs c p d i, l n l t có th  c p phát ch ng nh n cho các PKI client và nh ng CAs c p d i c a nó. ấ ướ ầ ượ ể ấ ứ ậ ữ ấ ướ ủSong chúng cũng có th  c p phát ch ng nh n cho c p trên c a nó.ể ấ ứ ậ ấ ủ

3.4.7 Mesh Architecture

Không gi ng Hierarchical architecture, trong m t ố ộ Mesh architecture CAs chia s  m t m i quan h  ngang hàng ẽ ộ ố ệ

v i nhau. K t qu  là chúng có th  c p phát các ch ng nh n đi n t  v i nhau, đi u này có nghĩa là m i quan h  ớ ế ả ể ấ ứ ậ ệ ử ớ ề ố ệ

y thác gi a các CAs là vô h ng. CAs cũng c p phát ch ng nh n cho PKI client. 

Figure 3­10: The Mesh architecture of a PKI framework

3.4.8 Hybrid Architecture

V i nh ng c u trúc tr c đây tham kh o đ n m t t  ch c đ n l  Tuy nhiên, k ch b n và vi c tri n khai c u trúcớ ữ ấ ướ ả ế ộ ổ ứ ơ ẻ ị ả ệ ể ấPKI b t đ u ph c t p khi t  ch c tác đ ng v i các t  ch c khác. Ví d , t  ch c này có th  s  d ng c u trúc l i,ắ ầ ứ ạ ổ ứ ộ ớ ổ ứ ụ ổ ứ ể ử ụ ấ ướ

nh ng trong khi t  ch c khác l i dùng d ng c u trúc đ n. Trong tr ng h p này, ư ổ ứ ạ ạ ấ ơ ườ ợ Hybrid architecture t  ra h u ỏ ữ

d ng khi nó cho phép quá trình t ng tác gi a hai t  ch c thành công. ụ ươ ữ ổ ứ

Có 3 lo i Hybrid architectures bao g m:ạ ồ

 Extended Trust List architecture.   lo i c u trúc này, t t c  các PKI client l u tr  m t danh sách m  r ng Ơ ạ ấ ấ ả ư ữ ộ ở ộ

c a t t c  các đi m  y thác (ủ ấ ả ể ủ trust points) trong c u trúc c a nh ng t  ch c khác và cũng đ   y thác các đi m ấ ủ ữ ổ ứ ể ủ ểcho chính mình. M t đi m  y thác trong c u trúc các t  ch c khác có th  là m t CA đ n, nhi u h n m t CA, ộ ể ủ ấ ổ ứ ể ộ ơ ề ơ ộ

ho c là t t c  nh ng CAs c a các t  ch c khác. ặ ấ ả ữ ủ ổ ứ

Figure 3­11: The Extended Trust List architecture of a PKI framework

 Cross­certified architecture. Trong c u trúc Hybrid, CA g c c a m t c  s  h  t ng c a t  ch c n m gi  ấ ố ủ ộ ơ ở ạ ầ ủ ổ ứ ắ ữ

m i quan h  ngang hàng v i nh ng g c CAs c a các t  ch c khác.ố ệ ớ ữ ố ủ ổ ứ

 Bridge CA architecture. Không gi ng c u trúc Cross­certified, n i nào mà t n t i m i quan h  ngang hàng ố ấ ơ ồ ạ ố ệ

gi a các CAs g c trong m i c  s  h  t ng c a t  ch c, m t th c th  m i g i là Bridge CA (BCA) l u gi  quan ữ ố ỗ ơ ở ạ ầ ủ ổ ứ ộ ự ể ớ ọ ư ữ

h  ngang hàng c a gi a các CAs g c.ệ ủ ữ ố

Tunneling đ a ra m t s  đ c đi m thu n l i có ý nghĩa khá quan trong trong công ngh  m ng truy n thông. Sau ư ộ ố ặ ể ậ ợ ệ ạ ềđây là m t s  thu n l i :ộ ố ậ ợ

 Đ n gi n và d  tri n khai. ơ ả ễ ể B i vì ý t ng c a tunneling đ n gi n nên vi c tri n khai công ngh  này cũng ở ưở ủ ơ ả ệ ể ệ

đ n gi n và d  dàng. H n n a, không c n ph i đi u ch nh c  s  h  t ng m ng đã có s n cho phù h p v i công ơ ả ễ ơ ữ ầ ả ề ỉ ơ ở ạ ầ ạ ẵ ợ ớngh  tunneling, đi u này t o ra đ c gi i pháp kh  thi và có l i cho nh ng t  ch c có ph m vi v a.ệ ề ạ ượ ả ả ợ ữ ổ ứ ạ ừ

 B o m t.ả ậ  C u t o tunnel ngăn ch n s  truy c p c a nh ng ng i dùng không đ c phép. K t qu , d  li u ấ ạ ặ ự ậ ủ ữ ườ ượ ế ả ữ ệ

l u thông quan tunnel thì t ng đ i an toàn,ư ươ ố   cho dù th c t  d  li u đ c trao đ i thông qua m t môi tr ng ự ế ữ ệ ượ ổ ộ ườkhông an toàn và chung, nh  Internet ch ng h n. ư ẳ ạ

 S  hi u qu  v  chi phí.ự ệ ả ề  Tunneling s  d ng m ng công c ng nh  Internet làm trung gian đ  truy n d  li u ử ụ ạ ộ ư ể ề ữ ệ

đ n đích. Đi u này t o ra m t gi i pháp vô cùng hi u qu  v  chi phí khi s  d ng tunneling, đ c bi t là khi b n ế ề ạ ộ ả ệ ả ề ử ụ ặ ệ ạ

so sánh nó v i vi c tri n khai m t m ng Intranet riêng khi thuê đ ng line tr i dài trên toàn c u ho c v i ớ ệ ể ộ ạ ườ ả ầ ặ ớ

kho ng cách xa. Thêm vào đó, t  ch c có th  ti t ki m m t s  ti n đáng k  dùng đ  chi phí cho vi c b o trì và ả ổ ứ ể ế ệ ộ ố ề ể ể ệ ả

qu n lý. ả

 Đ ng b  giao th c.ồ ộ ứ  D  li u s  d ng các giao th c không đ nh tuy n, nhữ ệ ử ụ ứ ị ế ư  Network Basic Input/Output System (NetBIOS), và NetBIOS Enhanced User Interface (NetBEUI) thì không phù h p v i v i các giao th c ợ ớ ớ ứInternet nh  TCP và IP. Vì lý do đó, nh ng gói d  li u không th  đ nh tuy n thông qua Internet. Tuy nhiên, ư ữ ữ ệ ể ị ếtunneling cho phép b n đ nh tuy n qua nh ng gói d  li u non­ip đ  đi đ n đích b ng vi c bao b c chúng ạ ị ế ữ ữ ệ ể ế ằ ệ ọ

“enveloping” bên trong các gói IP

 Ti t ki m đ a ch  IP.ế ệ ị ỉ  Nh  đã đ  c p   trên, tunneling cho phép các giao th c không đ nh tuy n, không đ a ư ề ậ ở ứ ị ế ị

ch  IP có th  chèn vào bên trong m t gói s  d ng m t đ a ch  IP duy nh t toàn c u. K t qu , thay vì ph i mua vàỉ ể ộ ử ụ ộ ị ỉ ấ ầ ế ả ảđăng ký đ a ch  IP này cho m i nút trong m ng, h  th ng m ng có th  mua m t kh i nh  các đ a ch  IP toàn c uị ỉ ổ ạ ệ ố ạ ể ộ ố ỏ ị ỉ ầduy nh t. Khi m t nút trong m ng riêng thi t l p m t k t n i VPN, b t k  m t đ a ch  IP s n có nào trong kh i ấ ộ ạ ế ặ ộ ế ố ấ ỳ ộ ị ỉ ẵ ố

có th  đ c dùng g n vào gói d  li u no­IP. Vì th , m ng riêng có th  gi m s  c n thi t đ a ch  IP trong m t t  ể ượ ắ ữ ệ ế ạ ể ả ự ầ ế ị ỉ ộ ổ

ch c. ứ

Ghi chú :

Nh m m c đích gi m thi u chi phí, thu n ti n cho vi c qu n lý, và đi u khi n hoàn thi n s  đ  đ a ch , nhi u t  ằ ụ ả ể ậ ệ ệ ả ề ể ệ ơ ồ ị ỉ ề ổ

ch c tri n khai đ a ch  IP riêng c a chính h ứ ể ị ỉ ủ ọ  Nh ng đ a ch  này không c n thi t ph i là đ a ch  toàn c u duy ữ ị ỉ ầ ế ả ị ỉ ầ

nh t, nên cũng không c n ph i mua nó t  nh ng đ i lý  y quy n, ch ng h n nh  InterNIC. L c đ  đ a ch  này ấ ầ ả ừ ữ ạ ủ ề ẳ ạ ư ượ ồ ị ỉ

đ c hi u nh  là nh ng đ a ch  IP riêng và làm vi c hi u qu  trong h  th ng m ng c a m t t  ch c. Tuy nhiên, ượ ể ư ữ ị ỉ ệ ệ ả ệ ố ạ ủ ộ ổ ứ

m t đ a ch  toàn c u duy nh t là y u t  đòi h i đ  có th  th c s  giao ti p v i h  th ng m ng chung bên ngoài ộ ị ỉ ầ ấ ế ố ỏ ể ể ự ự ế ớ ệ ố ạ

m ng gia đình (home network) trong m t s  tài li u v  VPN). ạ ộ ố ệ ề

 Nút kh i t o (Initiator node).ở ạ  Ng i dùng khách ho c máy ch  k i t o phiên VPN. Nút kh i t o có thườ ặ ủ ở ạ ở ạ ể

là m t ph n c a m ng c c b  ho c có th  là ng i dùng mobile s  d ng laptop. ộ ầ ủ ạ ụ ộ ặ ể ườ ử ụ

 HA (Home Agent). B  m t chung c a ch ng trình là th ng c  trú t i các nút m ngề ặ ủ ươ ườ ư ạ ạ   (router) trong 

m ng đích. Ngoài ra, m t nút đích, nh  Dial­up Server có th  làm máy ch  HA. HA nh n và xác nh nạ ộ ư ể ủ ậ ậ   

nh ng yêu c u g i đ n đ  xác th c chúng t  nh ng host đã đ c  y quy n. Khi xác nh n thành công b  ữ ầ ử ế ể ự ừ ữ ượ ủ ề ậ ộmáy kh i t o, HA cho phép thi t l p tunnel.ở ạ ế ậ

 FA (Foreign Agent). Giao di n tr ng trình th ng c  trú t i các nút kh i t o ho c ệ ươ ườ ư ạ ở ạ ặ ở  nút truy c p ậ

m ng (router) c a h  th ng m ng. Các nút kh i t o dùng FA đ  yêu c u m t phiên VPN tạ ủ ệ ố ạ ở ạ ể ầ ộ ừ  HA   m ng ở ạđích. 

Nh m m c đích làm d  hi u h n, quá trình ho t đ ng c a công ngh  tunneling đ c chia làm 2 giai đo n :ằ ụ ễ ể ơ ạ ộ ủ ệ ượ ạ

 Giai đo n I.ạ  Nút kh i t o (ho c ng i dùng t  xa) yêu c u m t phiên làm vi c VPN và đ c xác nh n b i ở ạ ặ ườ ừ ầ ộ ệ ượ ậ ở

HA t ng  ng. ươ ứ

 Giai đo n II.ạ  D  li u th c s  đ c chuy n qua m ng thông qua tunnel. ữ ệ ự ự ượ ễ ạ

Trong giai đo n I , m t k t n i yêu c u đ c kh i t o và nh ng tham s  phiên đ c đàm phán. (Giai đo n này ạ ộ ế ố ầ ượ ở ạ ữ ố ượ ạcũng có th  đ c xem nh  là giai đo n thi t l p tunnel.) n u yêu c u đ c ch p nh n và tham s  phiên đ c ể ượ ư ạ ế ậ ế ầ ượ ấ ậ ố ượđàm phán thành công, m t tunnel đ c thi t l p gi a hai nút thông tin đ u cu i. Đi u này x y ra qua nh ng vi cộ ượ ế ậ ữ ầ ố ề ả ữ ệchính sau :

1. Nút kh i t o g i yêu c u k t n i đ n v  trí FA trong m ng. ở ạ ử ầ ế ố ế ị ạ

2. FA xác nh n yêu c u b ng cách thông qua tên truy c p và m t kh u đ c cung c p b i ng i dùng. (Thông ậ ầ ằ ậ ậ ẩ ượ ấ ở ườ

th ng FA s  d ng các d ch v  c a m t máy ch  Remote Access Dial­Up Services (RADIUS) đ  xác nh n s  ườ ử ụ ị ụ ủ ộ ủ ể ậ ự

th ng nh t c a các nút kh i t o.)ố ấ ủ ở ạ

3. N u tên truy c p và m t kh u cung c p b i ng i dùng không h p l , yêu c u phiên làm vi c VPN b  t  ế ậ ậ ẩ ấ ở ườ ợ ệ ầ ệ ị ừ

ch i. Ng c l i, n u quá trình xác nh n s  th ng nh t c a FA thành công, nó s  chuy n yêu c u đ n m ng đích ố ượ ạ ế ậ ự ố ấ ủ ẽ ễ ầ ế ạ

HA. 

4. N u yêu c u đ c HA ch p nh n, FA g i login ID đã đ c mã hóa và m t kh u t ng  ng đ n nó. ế ầ ượ ấ ậ ử ượ ậ ẩ ươ ứ ế

5. HA ki m ch ng thông tin đã đ c cung c p. N u quá trình ki m ch ng thành công, HA g i nh ng Register ể ứ ượ ấ ế ể ứ ử ữReply, ph  thu c vào m t s  tunnel đ n FA. ụ ộ ộ ố ế

6. M t tunnel đ c thi t l p khi FA nh n Register Reply và s  tunnel. ộ ượ ế ậ ậ ố

Ghi chú :

N u 2 đi m đ u cu i không s  d ng cùng giao th c tunneling, m t s  tham bi n c u hình tunnel nh  mã hóa, ế ể ầ ố ử ụ ứ ộ ố ế ấ ưtham s  nén, và c  ch  duy trì tunnel cũng đ c đàm phán. ố ơ ế ượ

V i vi c thi t l p tunnel, giai đo n I đ c xem nh  đã xong và giai đo n II, hay giai đo n chuy n giao d  li u, ớ ệ ế ậ ạ ượ ư ạ ạ ễ ữ ệ

b t đ u. Quá trình giao d ch trong giai đo n II này th c hi n qua các b c sau :ắ ầ ị ạ ự ệ ướ

1. Nút kh i t o b t đ u chuy n h ng các gói d  li u đ n FA. ở ạ ắ ầ ể ướ ữ ệ ế

2. FA t o tunnel header và chèn nó vào t ng gói d  li u. Thông tin header c a giao th c đ nh tuy n (đ c đàm ạ ừ ữ ệ ủ ứ ị ế ượphán trong giai đo n I) sau đó đ c g n vào gói d  li u. ạ ượ ắ ữ ệ

3. FA chuy n h ng các gói d  li u đã mã hóa đ n HA b ng cách s  d ng tunnel number đã đ c cung c p. ể ướ ữ ệ ế ằ ử ụ ượ ấ

4. Trong quá trình nh n thông tin mã hóa, HA c i b  tunnel header và header c a giao th c đ nh tuy n, đ a góiậ ở ỏ ủ ứ ị ế ư

d  li u tr  v  d ng nguyên b n c a nó. ữ ệ ở ề ạ ả ủ

5. D  li u nguyên g c sau đó đ c chuy n h ng đ n nút mong mu n c n đ n trong m ng. ữ ệ ố ượ ể ướ ế ố ầ ế ạ  

Figure 4­3: The process of transferring data across a tunnel

Nh  đã đ c mô t    ph n tr c, tr c khi gói d  li u nguyên g c đ c phân phát đ n m ng đích thông qua ư ượ ả ở ầ ướ ướ ữ ệ ố ượ ế ạtunnel, nó đã đ c mã hóa b i FA. Gói d  li u mã hóa này đ c đ  c p nh  m t tunneled packet. Đ nh d ng ượ ở ữ ệ ượ ề ậ ư ộ ị ạ

c a m t tunneled packet đ c mô t  theo hình bên d i. ủ ộ ượ ả ướ

Nh  đã th y   hình 4­4, m t tunneled packet bao g m 3 ph n, bao g m :ư ấ ở ộ ồ ầ ồ

 Header of the routable protocol. Ph n đ u ch a đ a ch  ngu n (FA) và đích (HA). B i vì quá trình giao ầ ầ ứ ị ỉ ồ ở

d ch thông qua Internet ch  y u là d a trên c  s  IP, ph n đ u này là ph n IP header chu n ph  bi n và ị ủ ế ự ơ ở ầ ầ ầ ẩ ổ ế

ch a đ a ch  IP c a FA, HAứ ị ỉ ủ   tham gia trong qua trinh giao d ch. ị

 Tunnel packet header. Ph n đ u này ch a 5 ph n sau : ầ ầ ứ ầ

o Protocol type. Tr ng này ch  ra lo i giao th c c a gói d  li u nguyên g c (ho c pay­load). ườ ỉ ạ ứ ủ ữ ệ ố ặ

o Ki m tra t ng (Checksum).ể ổ  Ph n này ch a thông tin ki m tra t ng quát li u gói d  li u có b  m t mát ầ ứ ể ổ ệ ữ ệ ị ấtrong su t qua trình giao d ch. Thông tin này tùy ch n. ố ị ọ

o Khóa (Key). Thông tin này đ c dùng đ  nh n d ng ho c xác nh n ngu n th c c a d  li u (b  kh i ượ ể ậ ạ ặ ậ ồ ự ủ ữ ệ ộ ở

t o).ạ

o S  tu n t  (Sequence number).ố ầ ự  Tr ng này ch a đ ng 1 con s  mà ch  ra s  tu n t  c a gói d  li u ườ ứ ự ố ỉ ố ầ ự ủ ữ ệtrong m t lo t các gói d  li u đã và đang trao đ i. ộ ạ ữ ệ ổ

o Source routing. Tr ng này ch a đ ng thêm thông tin đ nh tuy n, ph n này tu  ch n. ườ ứ ự ị ế ầ ỳ ọ

 Payload. Gói d  li u nguyên g c đ c g i đ n FA b i b  kh i t o. Nó cũng ch a đ ng ph n đ u nguyên ữ ệ ố ượ ử ế ở ộ ở ạ ứ ự ầ ầ

g c. ố

2.5.1 Voluntary Tunnels

Cũng đ c bi t nhượ ế ư  end­to­end tunnels, voluntary tunnels đ c t o ra t  yêu c u c a ng i dùng máy khách. ượ ạ ừ ầ ủ ườ

K t qu  là, các nút kh i t o ho t đ ng nh  đi m cu i tunnel. Do đó, m t tunnel riêng r  đ c t o ra cho m i c pế ả ở ạ ạ ộ ư ể ố ộ ẽ ượ ạ ỗ ặthông tin. Sau khi m i giao thông gi a 2 đi m cu i k t thúc, tunnel s  ng t. Hình 4­5 mô t  m t voluntary ố ữ ể ố ế ẽ ắ ả ộtunnel

Figure 4­5: A voluntary tunnel

Trong tr ng h p ng i dùng t  xa s  d ng k t n i dial­up, đ u tiên máy khách c n thi t l p k t n i đ n m ng ườ ợ ườ ừ ử ụ ế ố ầ ầ ế ặ ế ố ế ạtrung gian. Đây là b c m  đ u cho vi c thi t l p nh ng tunnel và ch a hoàn thành b i các giao th c tunneling.ướ ở ầ ệ ế ặ ữ ư ở ứ

nhiên, tình hình s  ít ph c t p h n trong tr ng h p ng i dùng là m t ph n th ng xuyên c a m ng c c b  ẽ ứ ạ ơ ườ ợ ườ ộ ầ ườ ủ ạ ụ ộTrong tr ng h p này, máy khách đã k t n i vào m ng trung gian. Vì th , không c n thi t đ  thi t l p m t k t ườ ợ ế ố ạ ế ầ ế ể ế ặ ộ ế

n i quay s  riêng bi t t i m ng trung gian.ố ố ệ ớ ạ

2.5.2 Compulsory Tunnels

Không gi ng voluntary tunnels đ c yêu c u và đ c t o b i các nút ng i dùng, ố ượ ầ ượ ạ ở ườ compulsory tunnels đ c t o ượ ạ

và c u hình b i thi t b  trung gian. Network Attached Storages (NASs) ho c dial­up servers nh  thi t b  trung ấ ở ế ị ặ ư ế ịgian. Lo i tunneling này đ c tham kh o nh  compulsory tunneling b i vì b  kh i t o ph i dùng tunnel đ c ạ ượ ả ư ở ộ ở ạ ả ượ

t o b i thi t b  trung gian. ạ ở ế ị

Chú ý :

Các thi t b  trung gian th ng dùng đ  thi t l p tunnels trong su t phiên làm vi c VPN thì đ c bi t m t cách ế ị ườ ể ế ặ ố ệ ượ ế ộkhác bi t b i các giao th c tunneling khác nhau. Cho ví d , trong thu t ng  L2TP m t thi t b  trung gian đ c ệ ở ứ ụ ậ ữ ộ ế ị ượ

đ  c p đ n nh  m t L2TP Access Concentrator (LAC). T ng t , theo thu t ng  PPTP, thi t b  đ c đ  c p ề ậ ế ư ộ ươ ự ậ ữ ế ị ượ ề ậ

đ n nh  m t Front End Processor (FEP). Trong cài đ t IPSec đ c tr ng, thi t b  trung gian dùng thi t l p m t ế ư ộ ặ ặ ư ế ị ế ặ ộtunnel trong su t phiên liên l c VPN th ng đ c đ  c p đ n nh  m t IP Security Gateway. ố ạ ườ ượ ề ậ ế ư ộ

Trong tr ng h p c a compulsory tunneling, nh  hình 4­6, c  hai ng i dùng t  xa cũng nh  m ng LAN, ườ ợ ủ ư ả ườ ừ ư ạ

ng i dùng g n kèm ph i k t n i vào thi t b  trung gian, mà thông th ng đ c đ t t i ISP’s POP. Sau khi k t ườ ắ ả ế ố ế ị ườ ượ ặ ạ ế

n i đ c thi t l p thành công, thi t b  trung gian t o ra tunnel.ố ượ ế ặ ế ị ạ

Figure 4­6: A compulsory tunnel

B i vì nút kh i t o không n m trong ph n t o l p và c u hình tunnel, nó không ho t đ ng nhở ở ạ ằ ầ ạ ặ ấ ạ ộ ư  tunnel endpoint. Trong tr ng h p này, các thi t b  trung gian có trách nhi m làm cho tunnel ph c v  nh  các tunnel endpoint. ườ ợ ế ị ệ ụ ụ ưNgoài ra, không gi ng nhố ư  voluntary tunneling, trong m t tunnel riêng bi t đ c chia thành m i c p trong các ộ ệ ượ ỗ ặnút giao ti p, compulsory tunnels có th  đ c chia s  b i nhi u ph ng ti n thông tin. K t qu , tunnel không ế ể ượ ẽ ở ề ươ ệ ế ả

k t thúc cho đ n khi thông tin cu i cùng hoàn thành. ế ế ố

Ghi chú : 

M t s  chuyên gia đ nh nghĩa 2 lo i tunnel (ộ ố ị ạ static tunnels and dynamic tunnels ) đ c d a trên c  s  m t chu ượ ự ơ ở ộ

k  ho t đ ng c a tunnel. Static tunnels gi  nguyên ho t đ ng cho đ n khi chúng k t thúc, không quan tâm đ n ỳ ạ ộ ủ ữ ạ ộ ế ế ếquá trình l u thông d  li u. K t qu , nh ng lo i tunnel này t n kém và đ c th y tr c tiên trong các VPN cáchư ữ ệ ế ả ữ ạ ố ượ ấ ướnhau. Dynamic tunnels,   m t khía c nh khác, ho t đ ng ch  khi d  li u c n giao d ch, vì th  nó an toàn h n ở ộ ạ ạ ộ ỉ ữ ệ ầ ị ế ơstatic tunnels

B ng 4­1 t ng k t s  khác nhau c a 2 lo i tunnel. ả ổ ế ự ủ ạ

B ng 4­1: Compulsory và Voluntary Tunnel Comparison ả

Nút kh i t o ho t đ ng nh  tunnel endpoint. ở ạ ạ ộ ư Thi t b  trung gian ho t đ ng nh  tunnel endpoint. ế ị ạ ộ ư

M t tunnel riêng bi t đ c dùng cung c p choộ ệ ượ ấ

m i thông tin đang đi trên đ ng. ỗ ườ Tunnel gi ng nhau đ c chia s  b i nhi u thông tin đang đi tren ố ượ ẽ ở ề

đ ng. ườ

M t tunnel k t thúc khi d  li u trao đ i gi a ộ ế ữ ệ ổ ữ

hai đi m cu i hoàn thành. ể ố Tunnel không k t thúc cho đ n khi c p thông tin cu i hoàn thanh ế ế ặ ố

quá trình giao d ch d  li u. ị ữ ệ

B ng 4­1: Compulsory và Voluntary Tunnel Comparison ả

D  li u trao đ i gi a 2 đi m cu i nhanh h n.ữ ệ ổ ữ ể ố ơ D  li u trao đ i gi a hai th c th  đ c so sánh là ch m h n b i ữ ệ ổ ữ ự ể ượ ậ ơ ở

vì tunnel gi ng nhau đ c chia s  qua nhi u k t n i. ố ượ ẽ ề ế ốĐây là nh ng tunnel ng n h n. ữ ắ ạ Đây là nh ng tunnel dài h n. ữ ạ

Công ngh  Tunneling s  d ng 3 lo i giao th c : ệ ử ụ ạ ứ

 Giao th c v n chuy n (Carrier protocol).ứ ậ ễ  Giao th c này dùng đ  đ nh tuy n các tunneled packet đ n n i ứ ể ị ế ế ơ

mà chúng d  đ nh đ n thông qua m ng trung gian. Nh ng tunneled packets đ c đóng gói bên trong các gói ự ị ế ạ ữ ượ

c a giao th c này. B i vì nó ph i đ nh tuy n gói d  li u thông qua m t môi tr ng m ng trung gian h n t p, ủ ứ ở ả ị ế ữ ệ ộ ườ ạ ỗ ạ

nh  Internet, giao th c này ph i đ c h  tr  trên ph ng di n r ng. K t qu , n u tunnel đ c t o thông qua ư ứ ả ượ ổ ợ ươ ệ ộ ế ả ế ượ ạInternet, giao th c v n chuy n ch  y u dùng IP. Tuy nhiên, trong tr ng h p là m ng Intarnet riêng, m c nhiên ứ ậ ễ ủ ế ườ ợ ạ ặgiao th c đ nh tuy n cũng có th  đóng vai trò nh  giao th c v n chuy n. ứ ị ế ể ư ứ ậ ễ

 Giao th c đóng gói d  li u (Encapsulating protocol).ứ ữ ệ  Nh ng giao th c này th ng dùng đ  đóng gói ữ ứ ườ ể

tr ng t i g c. Thêm vào đó, giao th c đóng gói cũng ch u trách nhi m cho vi c t o, b o qu n, và k t thúc đ i ọ ả ố ứ ị ệ ệ ạ ả ả ế ố

v i tunnel. Ngày nay, PPTP, L2TP, và IPSec là nh ng giao th c đ c dùng ph  bi n. ớ ữ ứ ượ ổ ế

 Giao th c thông hành (Passenger protocol).ứ  D  li u g c c n đ c đóng gói vì m c đích giao d ch thông ữ ệ ố ầ ượ ụ ịqua tunnel ph  thu c vào giao th c này. PPP và SLIP (ụ ộ ứ Serial Line Internet Protocol) thì th ng đ c giao th c ườ ượ ứthông hành dùng

 Figure 4­7: Mapping the tunneled packet format to tunneling protocols

2. Tunneling Protocols   t ng 2.ở ầ

PPP là m t giao th c đóng gói d  li u thu n ti n trong vi c v n chuy n l u thông m ng thông qua các k t n i ộ ứ ữ ệ ậ ệ ệ ậ ễ ư ạ ế ố

n i ti p point­to­point. Thu n l i l n nh t c a PPP là nó có th  ho t đ ng đem l i hi u qu  cho b t k  Data ố ế ậ ợ ớ ấ ủ ể ạ ộ ạ ệ ả ấ ỳTerminal Equipment (DTE) ho c Data Connection Equipment (DCE) bao g m EIA/TIA­232­C và ITU­T V.35.ặ ồ

m t đi m yêu thích n a c a PPP là nó không gi i h n t  l  giao d ch. Cu i cùng, ch  thi t b  PPP có th  cho m tộ ể ữ ủ ớ ạ ỉ ệ ị ố ỉ ế ị ể ộ

k t n i kép (2 chi u) có th  đ i x ng ho c không đ i x ng và có th  thao tác theo ph ng th c chuy n m ch ế ố ề ể ố ứ ặ ố ứ ể ươ ứ ễ ạ

ho c chuyên d ng. ặ ụ

Chú ý : EIA/TIA­232­C tr c đây đ c hi u là RS­232C.ướ ượ ể

Ngoài vi c đóng gói d  li u IP và non­IP và nó v n chuy n qua các k t n i n i ti p, PPP cũng đ m nhi m m t ệ ữ ệ ậ ễ ế ố ố ế ả ệ ộ

 Ch  đ nh và qu n lý t  các đ a ch  IP đ n các gam d  li u non­IP.ỉ ị ả ừ ị ỉ ế ữ ệ

 C u hình và ki m tra các k t n i đã đ c thi t l p. ấ ể ế ố ượ ế ặ

 Đóng gói không đ ng b  và đ ng b  các gam d  li u. ồ ộ ồ ộ ữ ệ

 Phát hi n l i trong su t quá trình giao d ch. ệ ỗ ố ị

 Tr n các đa giao th c   t ng 2. ộ ứ ở ầ

 Đàm phán các tham s  c u hình tu  ch n, nh  nén và đánh đ a ch  d  li u. ố ấ ỳ ọ ư ị ỉ ữ ệ

PPP th c hi n ch c năng này b ng 3 tiêu chu n : ự ệ ứ ằ ẩ

 Tiêu chu n cho vi c đóng gói nh ng gói d  li u qua các n i k t đi m­đi m. ẩ ệ ữ ữ ệ ố ế ể ể

Chú ý : Tiêu chu n cho vi c đóng gói các gói d  li u thông qua các k t n i đi m­đi m là ph ng th c l ng l o ẩ ệ ữ ệ ế ố ể ể ươ ứ ỏ ẻtrong giao th c High­Level Data Link Control (HDLC). Ngoài ra, cũng có s  khác nhau gi a 2 chu n. Ví d  : ứ ự ữ ẩ ụHDLC phân chia gói d  li u ra thành frame, PPP thì không. ữ ệ

 Tiêu chu n cho vi c thi t l p, c u hình, và ki m tra k t n i đi m­đi m v i s  giúp đ  c a Link Control ẩ ệ ế ặ ấ ể ế ố ể ể ớ ự ở ủProtocol (LCP)

 Tiêu chu n cho vi c thi t l p và c u hình m t s  các giao th c t ng m ng và phát hi n l i trong su t quá ẩ ệ ế ặ ấ ộ ố ứ ầ ạ ệ ỗ ốtrình giao d ch d i hình th c c a Network Control Protocol (NCP) phù h p.ị ướ ứ ủ ợ

2.1.1 Quá trình ho t đ ng PPP.ạ ộ

Các ho t đ ng c a PPP đ c ti n hành theo nh ng ph ng cách sau :ạ ộ ủ ượ ế ữ ươ

1. Sau khi đóng gói các gói d  li u, nút ngu n (hay b  kh i t o) g i LCP frame thông qua liên k t đi m­đi m ữ ệ ồ ộ ở ạ ử ế ể ể

đ n nút c n đ n. ế ầ ế

2. Nh ng frame này đ c dùng đ  c u hình k t n i theo tham s  xác đ nh và ki m tra các k t n i đã đ c thi tữ ượ ể ấ ế ố ố ị ể ế ố ượ ế

l p n u có. ặ ế

3. Sau khi nút đích ch p nh n yêu c u k t n i và m t k t n i đ c thi t l p thành công, nh ng tùy ch n thu n ấ ậ ầ ế ố ộ ế ố ượ ế ặ ữ ọ ậ

l i đ c đã đàm phán, đ c xác đ nh b i LCPs. ợ ượ ượ ị ờ

4. Sau đó nút ngu n g i các frame NCP đ  l a ch n và c u hình các giao th c t ng m ng.ồ ử ể ự ọ ấ ứ ầ ạ

5. Sau khi các giao th cứ   t ng m ng đã đ c c u hình , 2 đi m cu i b t đ u trao đ i d  li u cho nhau.ầ ạ ượ ấ ể ố ắ ầ ổ ữ ệ

Figure 5­2: Establishing a PPP link and exchanging data

Khi m t k t n i đ c thi t l p, nó s  t n t i cho đ n khi LCP hay NCP frame báo hi u đi m cu i liên k t. N i ộ ế ố ượ ế ặ ẽ ồ ạ ế ệ ể ố ế ố

k t s  b  ng t trong tr ng h p n i k t không thành công ho c có s  can thi p c a ng i dùng.ế ẽ ị ắ ườ ợ ố ế ặ ự ệ ủ ườ

2.1.2 PPP Packet Format

Có 6 tr ng c u thành m t PPP frame :ừơ ấ ộ

 Flag. Tr ng này ch  đ nh ph n đ u và ph n đuôi c a 1 frame. Chi u dài c a tr ng này là 1 byte.ườ ỉ ị ầ ầ ầ ủ ề ủ ườ

 Address. B i vì s  d ng k t n i đi m­đi m, PPP không dùng đ a ch  c a các nút riêng l  Do đó, tr ng nàyở ử ụ ế ố ể ể ị ỉ ủ ẻ ườ

ch a m t chu i s  nh  phân 11111111, là đ a ch  broadcast. Chi u dài c a tr ng này là 1 byte. ứ ộ ổ ố ị ị ỉ ề ủ ườ

 Control. Tr ng này ch a dãy s  nh  phân 00000011, có nghĩa là frame đang mang d  li u c a ng i dùng ườ ứ ố ị ữ ệ ủ ườ

là m t frame thi u trình tộ ế ự  ch  ra tính ch t quá trình giao d ch không k t n i c a PPP. Chi u dài c a tr ng này ỉ ấ ị ế ố ủ ề ủ ườ

là 1 byte. 

 Protocol. Tr ng này ch  ra giao th c c a d  li u đã đ c đóng gói trong tr ng d  li u c a frame. Giao ườ ỉ ứ ủ ữ ệ ượ ườ ữ ệ ủ

th c trong tr ng này đ c xác đ nh theo con s  đính kèm trong b  RFC 3232. chi u dài c a tr ng này là 2 ứ ườ ượ ị ố ộ ề ủ ườbyte. The length of the field is two bytes. Tuy nhiên, cũng có th  là 1 byte n u c  hai ngang c p. ể ế ả ấ

 Data. Tr ng này ch a đ ng thông tin hi n t i đ c trao đ i gi a các nút ngu n và đích. Chi u dài c a ườ ứ ự ệ ạ ượ ổ ữ ồ ề ủ

tr ng này r t khác nhau, tuy nhiên chi u dài t i đa c a tr ng này có th  lên đ n 1500 byte. ườ ấ ề ố ủ ườ ể ế

 FCS (Frame Check Sequence). Tr ng này ch a đ ng trình t  ki m tra giúp ng i nh  xác nh n chính xácườ ứ ự ự ể ườ ậ ậthông tin v a nh n trong tr ng d  li u. Thông th ng, chi u dài c a tr ng là 2 byte. Tuy nhiên, vi c tri n ừ ậ ườ ữ ệ ườ ề ủ ườ ệ ểkhai PPP có th  đ t đ n 4 byte FCS nh m m c đích tăng kh  năng phát hi n l i.ể ạ ế ằ ụ ả ệ ỗ

Figure 5­3: The format of a typical PPP frame

2.1.3 PPP Link Control

Đ  tăng kh  năng thành công khi trao đ i d  li u gi a 2 nút, PPP cũng đ m nhi m ch c năng đi u khi n k t n iể ả ổ ữ ệ ữ ả ệ ứ ề ể ế ố

đ c thi t l p gi a hai thông tin đ u cu i. PPP s  d ng LCP trong m c đích này, sau đây là nh ng ch c năng ượ ế ặ ữ ầ ố ử ụ ụ ữ ứ

c a LCP : ủ

 Giúp đ  thi t l p n i k t PPP. ỡ ế ặ ố ế

 C u hình các n i k t đã đ c thi t l p nh m đáp  ng các yêu c u c a các bên thông tin. ấ ố ế ượ ế ặ ằ ứ ầ ủ

 Th c hi n ch c năng b o trì th ng xuyên các k t n i PPP. ự ệ ứ ả ườ ế ố

 K t thúc n i k t n u d  li u trao đ i gi a hai đ u cu i hoàn thành. ế ố ế ế ữ ệ ổ ữ ầ ố

Chú ý :

Trong PPP, thu t ng  “link” (n i k t) đ i di n cho k t n i đi m­đi m. ậ ữ ố ế ạ ệ ế ố ể ể

LCP d a trên đi u khi n k t n i x y ra trong 4 giai đo n, ự ề ể ế ố ả ạ giai đo n thi t l p k t n i và đàm phán ạ ế ặ ế ố , giai đo n xác ạ

đ nh ch t l ng k t n i, giai đo n đàm phán giao th c t ng m ng, và giai đo n k t thúc k t n i ị ấ ượ ế ố ạ ứ ầ ạ ạ ế ế ố  Mô t  d i đâyả ướ

t ng k t l i 4 giai đo n đi u khi n k t n i :ổ ế ạ ạ ề ể ế ố

 Link establishment and negotiation. Tr c khi có b t k  s  trao đ i d a trên PPP có th  x y ra gi a 2 nútướ ấ ỳ ự ổ ự ể ả ữngu n và đích, LCP ph i thi t l p (m ) k t n i gi a 2 đ u cu i và đàm phán các tham s  c u hình. LCP dùng ồ ả ế ặ ở ế ố ữ ầ ố ố ấLink­establishment frames cho m c đích này. Khi m i đ u cu i tr  l i v i chính Configuration­Ack frame c a ụ ỗ ầ ố ả ạ ớ ủ

nó, giai đo n này k t thúc. ạ ế

 Link quality determination. Giai đo n này là giai đo n tùy ch n, nh m xác đ nh xem ch t l ng c a k t ạ ạ ọ ằ ị ấ ượ ủ ế

n i đã s n sàng cho các giao th c t ng m ng không. ố ẵ ứ ầ ạ

 Network­layer protocol negotiation. Trong giai đo n này, d  li u c a giao th c t ng d i (t ng Network)ạ ữ ệ ủ ứ ầ ướ ầ

mà đã đ c đóng gói trong tr ng Protocol c a PPP frame đ c đàm phán. ượ ườ ủ ượ

 Link termination. Đây là giai đo n cu i cùng c a LCP và dùng đ  k t thúc k t n i PPP đã thi t l p tr c ạ ố ủ ể ế ế ố ế ặ ướ

gi a hai đ u cu i. Công vi c k t thúc k t n i có th  di n ra suôn s , t  nh  và cũng có th  đ t ng t, b t thình ữ ầ ố ệ ế ế ố ể ễ ẽ ế ị ể ộ ộ ấlình. S  ng t k t n i t  nh  x y ra sau khi d  li u trao đ i gi a hai đ u cu i hoàn thành, ho c   yêu c u c a m t ự ắ ế ố ế ị ả ữ ệ ổ ữ ầ ố ặ ở ầ ủ ộtrong hai bên (đ u cu i). M t s  ki n v t lý, nh  m t ng i v n chuy n ho c h t th i h n c a m t kho ng th i ầ ố ộ ự ệ ậ ư ấ ườ ậ ễ ặ ế ờ ạ ủ ộ ả ờgian nhàn r i, s  ng t k t n i b t thình lình s  x y ra. Link­termination frames đ c trao đ i gi a các bên có ổ ự ắ ế ố ấ ẽ ả ượ ổ ữliên quan tr c khi b  ng t k t n i. ướ ị ắ ế ố

Ngoài Link­establishment và Link­termination frames, PPP s  d ng m t lo i frame th  3 đ c g i là Link­ử ụ ộ ạ ứ ượ ọmaintenance frames. Nh ng frame này, gi ng nh  tên g i ra, đ c trao đ i trong nh ng v n đ  có liênữ ố ư ợ ượ ổ ữ ấ ề   k t n i ế ố

và dùng đ  qu n lý và debug các k t n i PPP.ể ả ế ố

Ngày nay m c dù không đ c s  d ng nh  VPNs, công ngh  PPP là nguyên t c c  b n cho các giao th c ặ ượ ử ụ ư ệ ắ ơ ả ứtunneling khác s  d ng r ng rãi trong VPNs. Th t v y, t t c  các giao th c tunneling ph  bi nử ụ ộ ậ ậ ấ ả ứ ổ ế   đ u d a trên ề ựPPP và đóng gói PPP frames vào IP hay các datagram khác cho vi c giao d ch thông qua m ng trung gian.ệ ị ạ

PPTP là m t gi i pháp đ c quy n cung c p kh  năng b o m t gi a remote client và enterprise server b ng vi c ộ ả ộ ề ấ ả ả ậ ữ ằ ệ

t o ra m t VPN thông qua m t IP trên c  s  m ng trung gian. Đ c phát tri n b i PPTP Consortium (Microsoftạ ộ ộ ơ ở ạ ượ ể ởCorporation, Ascend Communications, 3COM, US Robotics, và ECI Telematics), PPTP đ c đ a ra d a trên ượ ư ựyêu c u VPNs thông qua m ng trung gian không an toàn. PPTP không nh ng t o đi u ki n d  dàng cho vi c ầ ạ ữ ạ ề ệ ễ ệ

b o m t các giao d ch thông qua TCP/IP trong môi tr ng m ng chung, mà còn qua m ng riêng intranet. ả ậ ị ườ ạ ạ

2 H  tr  giao th c Non­IP.ổ ợ ứ  PPTP cũng h  tr  m t s  giao th c tri n khai m ng thông th ng khác nhổ ợ ộ ố ứ ể ạ ườ ư  TCP/IP, IPX, NetBEUI, và NetBIOS

2.2.1 Vai trò c a PPP trong giao d ch PPTPủ ị

PPTP là ph n m  r ng c a PPP, nó không thay đ i công ngh  PPP. Nó ch  đ nh nghĩa m t ph ng pháp m i ầ ở ộ ủ ổ ệ ỉ ị ộ ươ ớtrong vi c v n chuy n l u l ng VPN thông qua m t m ng chung không an toàn. Khá gi ng PPP, PPTP cũng ệ ậ ể ư ượ ộ ạ ốkhông h  tr  đa k t n i, t t c  các k t n i PPTP đ u   d ngổ ợ ế ố ấ ả ế ố ề ở ạ   đi m­đi m. PPP th c hi n m t s  ch c năng giao ể ể ự ệ ộ ố ứ