ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đỗ Thị Hương Quỳnh

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG
ĐẢM BẢO AN TOÀN TRUYỀN TIN
TRÊN MẠNG VINAPHONE
Ngành: Công nghệ thông tin
Chuyên nghành: Hệ thống thông tin
Mã số: 60 48 05

LUẬN VĂN THẠC SĨ

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến

Hà Nội – 2009


LỜI MỞ ĐẦU
Công ty Vinaphone là một công ty trực thuộc Tập đoàn Bưu chính Viễn thông
Việt nam (VNPT) hoạt động trong lĩnh vực thông tin di động. Là một trong các mạng
di động lớn nhất Việt Nam, Vinaphone luôn luôn cố gắng để thực hiện cam kết trong
thương hiệu là nhà cung cấp sản phẩm và dịch vụ thông tin di động với chất lượng tốt
nhất, đồng thời không ngừng chú trọng nâng cao chất lượng chăm sóc khách hàng.
Ngoài trụ sở chính tại Hà Nội, Vinaphone thành lập thêm 3 trung tâm khu vực
lớn và 64 điểm chăm sóc khách hàng trên khắp các tỉnh thành của cả nước. Tuy
nhiên, một vấn đề đặt ra là tất cả thông tin liên quan đến thuê bao của các tỉnh thành
chỉ được tập hợp và lưu trữ trên cơ sở dữ liệu thuê bao tại trụ sở chính. Do đó, để
khâu chăm sóc khách hàng đạt hiệu quả cao nhất thì đòi hỏi nhân viên tại mỗi điểm
đều có sẵn mọi thông tin liên quan đến thuê bao tại khu vực mình phục vụ các hoạt

tâm và ngược lại, thông tin nội bộ của công ty có thể gửi đến các chi nhánh để cập
nhật phục vụ mọi hoạt động của doanh nghiệp. Do đó, đối với mỗi doanh nghiệp, giải
pháp để truyền tin an toàn trong nội bộ mỗi doanh nghiệp đó đều là bài toán cần phải
giải quyết tốt góp phần thực hiện tốt các chiến lược kinh doanh.
Do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản
lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản
lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thỏa mãn
những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của
Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN).
Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà
các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng
được hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà, trên
đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ
chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó có thể đảm
bảo an toàn thông tin giữa các đại lý, người cung cấp. Trong nhiều trường hợp VPN
cũng giống như một mạng diện rộng, tuy nhiên đặc tính quyết định của VPN là
chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết
kiệm hơn nhiều.
Một mạng riêng ảo truy cập từ xa gọi tắt là VPN là một công nghệ kết nối cung
cấp kết nối an toàn và bí mật cho những người dùng truy cập từ xa đến các tài
nguyên của công ty qua mạng Internet. Người của công ty truy cập từ xa cần phải có


phần mềm VPN client cài đặt trên máy tính của mình và một kết nối Internet (thông
qua Dial-up, broadband ADSL, wifi,…).
Cisco VPN Client là một phần mềm mạng riêng ảo phổ biến được sử dụng để cung
cấp kết nối truy cập từ xa cho các mạng doanh nghiệp. Cisco VPN Client cho
Windows là chương trình phần mềm chạy trên máy tính trên cơ sở Microsoft
Windows. Cisco VPN Client trên một máy điều khiển từ xa giao tiếp với một Cisco
VPN server trên một mạng doanh nghiệp hoặc với các nhà cung cấp dịch vụ, tạo một

điểm của công nghệ lọc gói tin và máy chủ uỷ quyền (proxy server).

3/. Nhóm thiết bị tập trung Cisco VPN (Cisco VPN Concentrator series)
Thiết bị tập trung Cisco VPN 3000 sử dụng RSA SecurID Authentication để
cung cấp quá trình xác thực hai yếu tố thông qua cơ chế xác thực RSA SecurID
hoặc xác thực RADIUS cho cả các kết nối IPSec VPN lẫn SSL VPN.
Để giao tiếp một cách dễ dàng giữa thiết bị tập trung Cisco VPN và thiết bị
quản lý xác thực RSA (RSA Authentication Manager) hay thiết bị RSA SecurID
(RSA SecurID Appliance), phải thêm một bản ghi Agent Host vào cơ sở dữ liệu
RSA Authentication Manager và cơ sở dữ liệu RADIUS Server (nếu sử dụng
RADIUS). Bản ghi Agent Host nhận dạng thiết bị tập trung Cisco VPN trong cơ
sở dữ liệu của nó và chứa thông tin về cách thức giao tiếp cũng như thông tin mã
hóa.

4/. Phần mềm đảm bảo an toàn Cisco VPN (Cisco Secure VPN Client)


Cisco Secure VPN Client là một chương trình chạy trên hệ điều hành Window,
cho phép bảo mật việc truy cập từ xa tới bộ định tuyến Cisco và tường lửa PIX.
Cisco Secur VPN Client cho phép thiết lập các hành lang an toàn trên mạng riêng
ảo nối từ xa.

5/. Hệ thống phát hiện xâm nhập an toàn và máy quét an toàn
Thường được sử dụng để giám sát và kiểm tra các vấn đề an toàn trên mạng
riêng ảo.
o

Hệ thống phát hiện xâm nhập (Cisco Secure Intrusion Detection
System)
Cung cấp cơ chế phát hiện xâm nhập một cách hoàn chỉnh. Cisco đưa ra

Để tạo được kết nối VPN, cần có các thành phần sau đây:
1/. Hệ thống xác thực người dùng (User Authentication)
Cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết
nối và truy cập hệ thống VPN.
Cơ chế xác nhận người dùng thường được triển khai tại các điểm truy cập và
được dùng để xác nhận cho người dùng truy cập vào tài nguyên bên trong mạng.
Kết quả là chỉ có người dùng hợp lệ thì mới có thể truy cập vào bên trong mạng,
điều này làm giảm đáng kể sự truy cập bất hợp pháp vào những dữ liệu được lưu
trữ trên mạng.
2/. Hệ thống quản lý địa chỉ (Address Management)
Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để
có thể truy cập tài nguyên trên mạng nội bộ.
3/. Hệ thống mã hóa dữ liệu (Data Encryption)


Cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính
riêng tư và toàn vẹn dữ liệu.
4/. Hệ thống quản lý khoá (Key Management)
Cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ
liệu.
1.4. THỦ TỤC THIẾT LẬP MỘT KẾT NỐI VPN
Quá trình thiết lập một kết nối VPN gồm các bước sau:
1/. Máy khách (VPN Client) có nhu cầu kết nối tạo kết nối (VPN Connection) tới
máy chủ cung cấp dịch vụ (VPN Server) thông qua kết nối Internet.
2/. Máy chủ cung cấp dịch vụ chứng thực cho kết nối và cấp phép cho kết nối.
3/. Bắt đầu trao đổi dữ liệu giữa máy khách Cisco VPN và mạng công ty.

1.5. CÁC ỨNG DỤNG CỦA CISCO VPN CLIENT
Cisco VPN Client có các ứng dụng sau, cho phép lựa chọn từ trình đơn
Programs[1]:



1.6. NGUYÊN TẮC HOẠT ĐỘNG CỦA CISCO VPN CLIENT
Cisco VPN Client làm việc với một Cisco VPN server để tạo ra một kết nối an
toàn, được xem như “hành lang an toàn” cho kết nối và gọi là một tunnel, giữa máy tính
và mạng riêng. Nó sử dụng các giao thức IKE (Internet Key Exchange) và IPSec (Internet
Protocol Security) để tạo và quản lý kết nối an toàn.
1.6.1. Giao thức IPSec
Giao thức IPSec (Internet Protocol Security) có quan hệ tới một số bộ giao thức
(AH, ESP, FIP-140-1, và một số chuẩn khác), được phát triển bởi Tổ chức quản lý kỹ
thuật Internet (IETF).
Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu an toàn ở tầng 3
(Network layer) của mô hình OSI. Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa
trên các giao thức IP. Do đó, khi một cơ chế an toàn cao được tích hợp với giao thức IP,
toàn bộ mạng được bảo vệ bởi vì các giao tiếp đều đi qua tầng 3.
1.6.2. Giao thức IKE
Giao thức IKE là một trong những giao thức nằm trong bộ giao thức của IPSec.
IPSec dùng giao thức này để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa.
Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những
khóa đó khi được yêu cầu.
IKE giúp cho các thiết bị tham gia mạng riêng ảo trao đổi với nhau các thông tin
như mã hóa thế nào? Mã hóa bằng thuật toán gì? Bao lâu mã hóa 1 lần? IKE có tác dụng
tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia mạng riêng ảo. Do
đó IKE giúp cho IPSec có thể áp dụng cho các hệ thống mạng mô hình lớn. Trong quá
trình trao đổi khoá, IKE dùng thuật toán mã hóa bất đối xứng gồm bộ khóa công khai và
khoá riêng để bảo vệ việc trao đổi key giữa các thiết bị tham gia mạng riêng ảo.


TÀI LIỆU THAM KHẢO
Tiếng Anh