Công nghệ mạng riêng ảo trên Internet, Giao thức IPSec cho IP-VPN
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
Sinh viên thực hiện: Nguyễn Đức Cường
Giáo viên hướng dẫn: ThS Nguyễn Thị Thu Hằng
Đồ án:
CÔNG NGHỆ IP-VPN
Trang 2NỘI DUNG BÁO CÁO
Bộ giao thức TCP/IP
Công nghệ mạng riêng ảo trên Internet
Giao thức IPSec cho IP-VPN
An toàn dữ liệu trong IP-VPN
Thực hiện IP-VPN
Kết luận
Trang 3BỘ GIAO THỨC TCP/IP
Trang 5CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
Điều khiển truy nhập
Trang 6Phân loại mạng riêng ảo theo kiến trúc
VPN truy nhập từ xa Intranet VPN
Extranet VPN
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
Trang 7CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET
Trang 8GIAO THỨC IPSEC CHO IP-VPN
Đóng gói thông tin của IPSec
Giao thức tiêu đề xác thức AH
Giao thức đóng gói an toàn tải tin ESP
Kết hợp an ninh SA
Giao thức trao đổi khóa IKE
Các giao thức đang tồn tại ứng dụng cho IPSec
Trang 9GIAO THỨC IPSEC CHO IP-VPN
Giao thức tiêu đề xác thực AH
Trang 10GIAO THỨC IPSEC CHO IP-VPN
Giao thức đóng gói an toàn tải tin ESP
Trang 11GIAO THỨC IPSEC CHO IP-VPN
Liên kết an ninh SA
Là dịch vụ bảo mật quan hệ giữa hai hay nhiều thực thể để thỏa thuận truyền thông an toàn.
Là một kết nối đơn công.
Được xác định bởi ba tham số SPI, địa chỉ IP đích, giao thức an toàn (AH hayESP).
Là cơ sở dữ liệu để tham chiếu các dịch vụ an toàn được cung cấp khi thực hiện đóng gói thông tin
Trang 12GIAO THỨC IPSEC CHO IP-VPN
Giao thức trao đổi khóa IKE
IKE pha 1 IKE pha 2
Chức năng:
Thỏa thuận các thông số an ninh và các tập chuyển đổi
Thiết lập các kết hợp an ninh IPSec
Định kỳ thỏa thuận lại IPSec SA
Thực hiện một trao đổi Diffie-Hellman bổ sung để tạo
ra SA và khóa mới
Mục đích:
Thương lượng và thiết lập chính sách ninh
Trang 13GIAO THỨC IPSEC CHO IP-VPN
Giao thức trao đổi khóa IKE
IKE pha 1 IKE pha 2
Chức năng:
Thỏa thuận các thông số an ninh và các tập chuyển đổi
Thiết lập các kết hợp an ninh IPSec
Định kỳ thỏa thuận lại IPSec SA
Thực hiện một trao đổi Diffie-Hellman bổ sung để tạo
ra SA và khóa mới
Mục đích:
Thương lượng và thiết lập chính sách ninh
Trang 14GIAO THỨC IPSEC CHO IP-VPN
Ví dụ về đóng gói dữ liệu sử dụng ESP
Gói tin
Tìm kiếm SA
Mật mã
dữ liệu
Gói tin
Tạo tiêu đề và đóng gói
dữ liệu vào tiêu đề mới
Gói tin
Tìm kiếm SA
Tách tiêu đề và kiểm tra tiính toàn vẹn gói tin,…
Giải mã
dữ liệu
Gói tin
Gói tin Gói tin Gói tin
Gói tin ban đầu Gói tin sau mật mã Gói tin truyền trên mạng công cộng
Trang 15GIAO THỨC IPSEC CHO IP-VPN
Trang 17Bản tin được mật
mã C
Bản tin được mật
mã C
Bản tin được mật
mã C Khóa K
Trang 19AN TOÀN DỮ LIỆU TRONG IP-VPN
Hệ thống mật mã khóa công khai
Khóa công khai
Đoạn tin Đoạn tin
C = E KUb (M)
M = D KRb (C)=D KRb [E KUb (M)]
Trang 20AN TOÀN DỮ LIỆU TRONG IP-VPN
• Phát hiện các bản tin bị lỗi
• Bảo vệ chống sửa đổi bất hợp pháp bản tin
Trang 21AN TOÀN DỮ LIỆU TRONG IP-VPN
Hàm băm MD5/SHA Hàm băm
MD5/SHA
Hàm băm MD5/SHA MD5/SHAHàm băm
Hàm băm MD5/SHA
H a s h
H a s h
H a s h
I V
N x 512 bit
Trang 22Giải mã với khóa công khai
Mật mã với
Trang 23AN TOÀN DỮ LIỆU TRONG IP-VPN
Xác thực nguồn gốc dữ liệu
Client Certificate
Trust
Verisign Self Signed
Amazon Verisign
Swisskey Self Signed
Intermediate CA Root CA
Trang 24THỰC HIỆN IP-VPN
IP-VPN truy nhập từ xa
Kiến trúc khởi tạo từ máy khách
Kiến trúc khởi tạo từ máy chủ truy nhập NAS
Trang 26THỰC HIỆN IP-VPN
Trang 27KẾT LUẬN (1/2)
Cùng với xu hướng IP hóa mạng viễn thông, công nghệ
IP-VPN hứa hẹn triển vọng thị trường rất lớn
Đồ án trình bày bốn giao thức đường ngầm sử dụng cho
công nghệ IP-VPN: PPTP, L2F, L2TP, IPSec
Giao thức IPSec là giao thức tối ưu nhất về tính an toàn dữ
liệu Để thực hiện đóng gói dữ liệu, IPSec có hai giao thức đóng gói là AH và ESP Liên kết an ninh sẽ định ra một tập các tham số, thuật toán và giao thức đóng gói (AH hay
ESP) cho dữ liệu giữa hai bên Giao thức trao đổi khóa IKE đảm bảo vai trò nhận thực và thỏa thuận liên kết an ninh
giữa các bên tham gia
Trang 28KẾT LUẬN (2/2)
An toàn dữ liệu là vấn đề rất quan trọng đối với công
nghệ IP-VPN Đồ án đã trình bày một số thuật toán được dùng kết hợp với giao thức IPSec: mật mã, xác thực, toàn vẹn dữ liệu
Cùng với xu hướng mạng viễn thông chuyển sang mạng
thế hệ mới NGN, VPN là một trong những dịch vụ của của NGN và hứa hẹn tương lai phát triển rất lớn
Hướng phát triển tiếp theo của đề tài là nghiên cứu về
VPN sử dụng giao thức MPLS và ứng dụng VPN trong thông tin di động