ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN ĐÌNH NGHĨA CƠNG NGHỆ MẠNG RIÊNG ẢO SSL VPN VÀ ỨNG DỤNG TRONG XÂY DỰNG HỆ THỐNG TRUYỀN TỆP Chuyên ngành: Công nghệ thông tin Mã số : 1.01.10 LUẬN VĂN THẠC SỸ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN VĂN TAM Hà Nội – 2006 MỤC LỤC Lời cảm ơn Lời cam đoan Mục lục ……………………………………………… ………………………… Danh mục chữ viết tắt, thuật ngữ.…………………………………… …… Danh mục hình vẽ.………………………………………………………… …5 Mở đầu………………………………………………………………………… ….8 Chương Tổng quan mạng riêng ảo……………………………………… 10 1.1 Khái niệm chung mạng riêng ảo………………………………………….10 1.2 Phân loại mạng riêng ảo…………………………………………………….12 1.2.1 Phân loại VPN theo việc cung cấp dịch vụ…………………………….12 1.2.2 Phân loại VPN theo kỹ thuật sử dụng VPN………………………16 1.2.3 Phân loại VPN theo nhóm chức năng………………………………….16 1.2.4 Phân loại VPN theo nhóm cơng nghệ mơ hình OSI……………… 18 1.2.5 Phân loại VPN theo nơi xử lý VPN……………………………………18 1.3 Các thành phần mạng riêng ảo………………………………………….19 1.3.1 Máy chủ phục vụ truy cập mạng NAS…………………………………19 1.3.2 Bộ định tuyến………………………………………………………… 19 1.3.3 Máy nguồn máy đích đường hầm………………………………… 19 1.3.4 Máy chủ phục vụ xác thực……………………………………….…….20 1.3.5 Tường lửa - Firewall……………………………………………………20 1.3.6 Máy chủ sách…………………………………………………….21 1.3.7 VPN Gateway………………………………………………………… 21 1.4 Đường hầm VPN…………………………………………………… 21 1.4.1 Khái niệm đường hầm…………………………………………….……21 1.4.2 Các giao thức đường hầm…………………………………………… 22 1.5 Các yêu cầu VPN………………………………………… 29 1.5.1 Xác thực VPN……………………………………………………29 1.5.2 Tính bí mật liệu VPN…………………………………….… 32 1.5.3 Tính toàn vẹn liệu VPN………………………………………32 1.6 Kết luận chương…………………………………………………………….33 Chương Công nghệ mạng riêng ảo SSL VPN……………………………… 34 2.1 Giới thiệu……………………………………………………………………34 2.1.1 Lịch sử phát triển giao thức SSL………………………………… 34 2.1.2 SSL mơ hình OSI………………………………………………… 35 2.2 Các khái niệm an ninh sử dụng SSL……………………………36 2.2.1 Mã hoá……………………………………………………………… 36 2.2.2 Hàm băm tóm lược thơng điệp…………………………………37 2.2.3 Mã xác thực thơng điệp……………………………………………… 38 2.2.4 Mã hố khóa cơng khai chữ ký điện tử…………………………… 38 2.2.5 Chứng số quan cung cấp chứng số………………………39 2.3 Giao thức đường hầm SSL………………………………………………….40 2.3.1 Giao thức bắt tay SSL…………………………….……………………40 2.3.2 Giao thức ghi SSL…………………………………………………53 2.3.3 Giao thức cảnh báo SSL……………………………………………….56 2.3.4 Giao thức ChangeCipherSpec………………………………………….57 2.3.5 Khuôn dạng thông điệp giao thức bắt tay………………………….58 2.4 Thiết lập đường hầm SSL VPN………………………………………63 2.5 So sánh SSL VPN IPSec VPN………………………………………… 64 2.6 Kết luận chương…………………………………………………………….66 Chương Xây dựng hệ thống truyền tệp dựa hoạt động giao thức SSL…67 3.1 Phát biểu toán……………………………………………………………67 3.2 Thiết kế hệ thống……………………………………………………………68 3.3 Giao thức trao đổi liệu SSLFTP……………………………………… 69 3.4 Nguyên tắc hoạt động hệ thống…………………………………………69 3.4.1 Khởi tạo phiên giao tiếp……………………………………………… 69 3.4.2 Các thông điệp trao đổi pha thiết lập liên kết.………………… 71 3.4.3 Xác thực máy chủ tệp ……………………………………………… 72 3.4.4 Tạo tham số phiên.…………………………………………………73 3.4.5 Đóng gói gửi thơng điệp…………………………………………….74 3.4.6 Các thuật toán sử dụng hệ thống……………………………… 74 3.5 Thiết kế thông điệp trao đổi liệu…………………………………….75 3.5.1 Khuôn dạng thông điệp giao thức ghi SSLFTPRecord……….75 3.5.2 Khuôn dạng thông điệp giao thức tầng trên……………………75 3.6 Bảo vệ thơng điệp……………………………………………………….79 3.6.1 Tính tốn mã xác thực thơng điệp…………………………………… 80 3.6.2 Mã hố liệu…………………………………………………………80 3.7 Thiết kế module chương trình………………………………………………81 3.7.1 Module máy chủ xác thực.……………………………………… 81 3.7.2 Module máy chủ tệp.…………………………………………… 82 3.7.3 Module máy khách ……………………………………………….82 3.8 Cài đặt thử nghiệm………………………………………………………….83 3.8.1 Cài đặt máy chủ xác thực………………………………………….83 3.8.2 Cài đặt máy chủ tệp……………………………………………….84 3.8.3 Cài đặt máy khách.……………………………………………… 85 Kết luận chung……………………………………………………………………87 Tài liệu tham khảo……………………………………………………………….88 Phụ lục Phụ lục A Phụ lục B Phụ lục C Phụ lục D Phụ lục E Phụ lục F DANH MỤC CÁC TỪ VIẾT TẮT, THUẬT NGỮ TRONG LUẬN VĂN AH CHAP CA DES FEP ESP GRE HDLC IETF IPSec IPSec VPN L2F L2TP LCP LDAP MAC Message Digest MPLS MPPE NAS NAT NCP PAP PIN PoP PKC PPP PPTP RAS RC2, RC4 SKC SSL SSL VPN SP Authentication Header Challenge Handshake Authentication Protocol Certification Authority Data Encryption Standard Front-End-Processor Encapsulating Security Payload Generic Routing Encapsulation High-Level Data Link Control Internet Engineering Task Force Internet Protocol Security Mạng riêng ảo sử dụng công nghệ IPSec Layer Forwarding Layer Tunneling Protocol Link Control Protocol Lightweight Directory Access Protocol Message Authentication Code Bản tóm lược thơng điệp Multi Protocol Label Switching Microsoft Point to Point Encryption Network Access Server Network Address Translation Network Control Protocol Password Authentication Protocol Personal Identification Number Point of Presence Public Key Cryptography Point to Point Protocol Point to Point Tunneling Protocol Remote Access Server Rivest's Cipher or Ron's Code Secret Key Cryptography Secure Socket Layer Mạng riêng ảo sử dụng công nghệ SSL Service Provider TLS VPN Transport Layer Security Virtual Private Network DANH MỤC CÁC HÌNH VẼ TRONG LUẬN VĂN Hình 1.1 Hình 1.2 Hình 1.3 Hình 1.4 Hình 1.5 Hình 1.6 Hình 1.7 Hình 1.8 Hình 1.9 Hình 1.10 Hình 1.11 Hình 1.12 Hình 1.13 Hình 1.14 Hình 1.15 Hình 1.16 Hình 1.17 Hình 1.18 Hình 1.19 Hình 2.1 Hình 2.2 Hình 2.3 Hình 2.4 Hình 2.5 Hình 2.6 Hình 2.7 Hình 2.8 Hình 2.9 Hình 2.10 Hình 2.11 Hình 2.12 Hình 2.13 Mơ hình VPN……………….….………………………………… 11 Mối quan hệ Router………………………………………… 12 Triển khai Overlay VPN tầng 1………………… ……………………13 Triển khai Overlay VPN tầng 2.……… …… ………………………13 Triển khai Overlay VPN tầng 3…………… …………………………13 Mơ hình mạng MPLS VPN………………………… ……………… 15 Remote Access VPN………………………………… ………………17 Site to Site VPN……………………….……………….………………18 VPN theo nơi xử lý……………………………… ………………… 19 Đường hầm VPN…………………………… ….…… .22 Phiên PPTP với máy khách PPP……………………………………….23 Phiên PPTP với máy khách PPP giao thức PPTP………………… 24 Các thao tác PPTP…………………………………………………… 24 Cấu trúc gói tin điều khiển giao thức PPTP…………………… 25 Cấu trúc gói tin liệu người dùng PPTP………………………25 Chế độ đường hầm bắt buộc L2TP…………………………………….26 Chế độ đường hầm chủ động L2TP……………………………………26 Cấu trúc gói tin điều khiển giao thức L2TP……………… 27 Cấu trúc gói tin liệu người dùng L2TP………………………27 Sơ đồ mối quan hệ SSL mơ hình OSI………….…………… 35 Sơ đồ mối quan hệ SSL giao thức khác………………… 36 Sơ đồ hệ thống mã hoá khoá đối xứng ……………………………… 37 Sơ đồ hệ thống mã hố khố cơng khai …………………… ……… 37 Sơ đồ xác thực liệu dùng chữ ký điện tử………………………… 39 Sơ đồ trình bắt tay không xác thực máy khách SSL…… 41 Sơ đồ q trình bắt tay có xác thực máy khách SSL……………43 Sơ đồ trình cập nhật trạng thái phiên máy khách………………46 Sơ đồ trình cập nhật trạng thái phiên máy chủ……………… 47 Sơ đồ xác thực máy chủ giao thức SSL………………………….49 Sơ đồ xác thực máy khách giao thức SSL………………………50 Sơ đồ trình tạo Master secret SSL………………………… 51 Sơ đồ trình tạo Key material SSL………………………… 52 Hình 2.14 Hình 2.15 Hình 2.16 Hình 2.17 Hình 2.18 Hình 2.19 Hình 2.20 Hình 2.21 Hình 2.22 Hình 2.23 Hình 2.24 Hình 2.25 Hình 2.26 Hình 2.27 Hình 2.28 Hình 2.29 Hình 2.30 Hình 2.31 Hình 2.32 Hình 2.33 Hình 3.1 Hình 3.2 Hình 3.3 Hình 3.4 Hình 3.5 Hình 3.6 Hình 3.7 Hình 3.8 Hình 3.9 Hình 3.10 Hình 3.11 Hình 3.12 Hình 3.13 Hình 3.14 Sơ đồ sinh khố từ Key material………………………………………52 Các bước xử lý liệu giao thức ghi SSL………………… 53 Khuôn dạng thông điệp ghi SSL………………………………… 53 Bảo vệ thơng điệp với thuật tốn MD5……………………………… 54 Bảo vệ thơng điệp với thuật tốn SHA…………………………………54 Sơ đồ tính tốn MAC SSL………………………………………55 Mã hố thơng điệp với thuật tốn mã hố dòng……………………….56 Mã hố thơng điệp với thuật tốn mã hố khối……………………… 56 Khn dạng thông điệp Alert………………………………………….56 Khuôn dạng thông điệp ChangeCipherSpec………………………… 57 Tổ hợp thông điệp Handshake ghi SSL……………… 58 Khuôn dạng thông điệp HelloRequest.……………………………… 59 Khuôn dạng thông điệp ClientHello………………………………… 59 Khuôn dạng thông điệp ServerHello………………………………… 60 Khuôn dạng thông điệp Certificate……………………………………60 Khuôn dạng thông điệp CertificateRequest………………………… 61 Khuôn dạng thông điệp ServerHelloDone…………………………….61 Khuôn dạng thông điệp ClientKeyExchange với RSA……………… 62 Khuôn dạng thông điệp CertificateVerify…………………………… 62 Khuôn dạng thơng điệp Finished………………………………………63 Mơ hình hệ thống truyền tệp………………………………………… 68 Sơ đồ mối quan hệ giao thức thành phần SSLFTP………… 69 Sơ đồ khởi tạo phiên giao tiếp xác thực máy chủ tệp……….…… 70 Sơ đồ trình xác thực máy chủ tệp…………………………………72 Sơ đồ trình tạo Master secret SSLFTP…………………… 73 Sơ đồ trình tạo khố phiên……………………………………… 74 Khn dạng thơng điệp ghi SSLFTP…………………………… 75 Khuôn dạng thông điệp ClientHelloFTP………………………………76 Khuôn dạng thông điệp ServerHelloFTP…………………………… 76 Khuôn dạng thông điệp AuthenRequestFTP………………………… 77 Khuôn dạng thông điệp AuthenRespondFTP………………………….77 Khuôn dạng thông điệp ServerHelloDoneFTP……………………… 78 Khuôn dạng thông điệp ClientKeyExchangeFTP…………………… 78 Khuôn dạng thông điệp FinishedFTP………………………………….78 Hình 3.15 Hình 3.16 Hình 3.17 Hình 3.18 Hình 3.19 Hình 3.20 Hình 3.21 Hình 3.22 Hình 3.23 Hình 3.24 Khuôn dạng thông điệp ChangeCipherSpecFTP………………………79 Khuôn dạng thông điệp AlertFTP…………………………………… 79 Sơ đồ tính tốn MAC SSLFTP………………………………….80 Bảo vệ thông điệp với MAC………………………………………… 81 Sơ đồ hoạt động module chương trình máy chủ xác thực……81 Sơ đồ hoạt động module chương trình máy chủ tệp………….82 Sơ đồ hoạt động module chương trình máy khách………… 83 Giao diện chương trình máy chủ xác thực……………………… 84 Giao diện chương trình máy chủ tệp…………………………… 84 Giao diện chương trình máy khách……………………………….85 MỞ ĐẦU Trong năm gần công nghệ thông tin phát triển cách nhanh chóng với nhiều loại hình dịch vụ phong phú đáp ứng yêu cầu ngày cao người Các hệ thống mạng truyền thơng đại, máy tính cá nhân, mạng máy tính quốc gia, quốc tế Internet … làm cho quốc gia, công ty, cá nhân giới xích lại gần Thơng tin nhu cầu thiếu người dạng tài nguyên đặc biệt vô q giá Nói đến thơng tin đồng thời nói đến giao lưu trao đổi bảo mật an tồn thơng tin, đặc biệt hệ thống truyền tin, mạng liệu mạng máy tính Có nhiều cách thức, phương pháp để bảo đảm an tồn cho thơng tin, mạng riêng ảo giải pháp tốt cho vấn đề trao đổi thông tin qua mạng Mạng riêng ảo thực chất việc kết nối mạng quan, tổ chức sử dụng hạ tầng sở mạng công cộng Internet… Trong công nghệ thông tin, khoa học mạng truyền thông lĩnh vực đạt nhiều thành tựu ứng dụng nhiều lĩnh vực thương mại điện tử, ngân hàng, tài chính, hàng khơng… Những nghiên cứu góp phần đáng kể việc thúc đẩy xã hội phát triển nói chung ngành Cơng nghệ Thơng tin nói riêng Trên giới đặc biệt Châu Âu, Mỹ, công nghệ (cả phần cứng phần mềm) mạng truyền thơng phát triển mạnh, chí số tài liệu cho đạt tới mức hồn thiện cơng nghiệp Việc nghiên cứu, triển khai mạng riêng ảo nước ta quan tâm, kết thu hạn chế Luận văn “Công nghệ mạng riêng ảo SSL VPN ứng dụng xây dựng hệ thống truyền tệp” định hướng vào công nghệ xây dựng mạng riêng ảo SSL VPN thiết kế, triển khai hệ thống thực tế Nội dung luận văn bao gồm chương phần phụ lục Chương Trình bày tổng quan mạng riêng ảo: khái niệm, phân loại, yêu cầu mạng riêng ảo, Chương Trình bày công nghệ SSL việc xây dựng mạng riêng ảo SSL VPN bao gồm cấu trúc, nguyên lý hoạt động, vấn đề an ninh TÀI LIỆU THAM KHẢO Tiếng Việt Trần Công Hùng (2002), Kỹ thuật mạng riêng ảo, NXB Bưu Điện Thái Hồng Nhị, Phạm Minh Việt (2004), An tồn thơng tin, NXB Khoa học kỹ thuật Tiếng Anh Richard Deal (2005), The Complete Cisco VPN Configuration Guide, Cisco Press James Henry Carmouche, Ipsec Virtual Private Network Fundamentals, Cisco Press Ebook – Cisco Access VPN Solutions Using Tunneling Technologies, Cisco Press Stephen A.Thomas, SSL and TLS Essentials, Wiley Meeta Gupta (2003), Building a Virtual Private Network, Premier Press By Gert De Laet, Gert Schauwers (2004), Network Security Fundamentals, Cisco Press Franck Martin (2002), SSL Certificates Howto 10.Chartlei Hosner (2004), OpenVPN and the SSL Revolution 11.Cisco systems(2002), Introduction to Secure Socket Layer, White Page 12.Kipp E B Hickman The SSL Protocol, Veraion 2.0 Netscape Communications, 1995, http://wp.netscape.com/eng/security/SSL2.html (2003) 13.A O Freier P Karlton and P C Kocher The SSL Protocol, Version 3.0 Netscape Communications, 1996, http://wp.netscape/eng/ssl3/draft302.txt (2003) 14.T Dierks and C Allen RFC2246, The TLS Protocol, Version 1.0 Network Working Group, 1999, ftp://ftp.rfc-editor.org/in-notes/rfc2246.txt (2003) 15.Eric Rescorla SSL and TLS, Designing and Building Secure Systems Addison Wesley, 2001, 3rd printing 16.H Krawczyk M Bellare and R Canetti HMAC: Keyed-Hashing for Message Authentication,RFC 2104 Network Working Group, 1997, ftp://ftp.rfceditor.org/innotes/rfc2104.txt (2003) 17.V Rijmen: The block cipher Rijndael http://www.esat.kuleuven.ac.be/ ~rijmen/rijndael/, (2001) 18.National Institute of Standards and Technology: Specification for the Advanced Encryption Standard (AES) http://csrc.nist.gov/publications/fips/fips197/fips197.pdf, (2001) 19.Virtual Private Networking: An Overview, (2001) http://www.microsoft.com/technet/prodtechnol/windows2000serv/plan/vpnoverv iew.mspx 20.Virtual Private Network http://www.d-link.co.za/pdf/7.%20D-Link%20 Virtual %20Private%20Network%20Self%20Study.pdf 21.Christopher McDonaldVirtual: Private Networks An overview http://www.intranetjournal.com/foundation/vpn-1.shtml 22.The VPN Overview http://searchnetworking.techtarget.com/searchNetworking/downloads/Buildvpn1.pdf 23.VPN Overview http://www.juniper.net/techpubs/software/junos/junos72/swconfig72-vpns /download/vpn-overview.pdf 24.Yinglam Cheung, 2003 Multi-Protocol Label Switching (MPLS) http://www.slb.com/media/services/consulting/infrastructure/mpls_whitepaper.pdf 25.R Rivest The MD-5 Message-Digest Algorithm, RFC 1321 John Wiley and Sons, 1996, ftp://ftp.rfc-editor.org/in-notes/rfc1321.txt (2003) 26.Michael Hayoz, Introducing SSL The Secure Sockets Layer Protocol http://diuf.unifr.ch/ds/michael.hayoz/docs/hayozm_ssl.pdf 27.Joseph Steinberg, Timothy Speed, SSL VPN, PACKT ... thu hạn chế Luận văn Công nghệ mạng riêng ảo SSL VPN ứng dụng xây dựng hệ thống truyền tệp định hướng vào công nghệ xây dựng mạng riêng ảo SSL VPN thiết kế, triển khai hệ thống thực tế Nội dung... phụ lục Chương Trình bày tổng quan mạng riêng ảo: khái niệm, phân loại, yêu cầu mạng riêng ảo, Chương Trình bày cơng nghệ SSL việc xây dựng mạng riêng ảo SSL VPN bao gồm cấu trúc, nguyên lý hoạt... qua mạng Mạng riêng ảo thực chất việc kết nối mạng quan, tổ chức sử dụng hạ tầng sở mạng công cộng Internet… Trong công nghệ thông tin, khoa học mạng truyền thông lĩnh vực đạt nhiều thành tựu ứng