[email protected]
những quyết định bố trí như vậy. Mô hình kiến trúc an ninh bốn mức sẽ
được giới thiệu như một mô hình OSI nhỏ, thực tế và đơn giản hơn khi trình
bày về các vấn đề bố trí an ninh. Mô hình bốn mức này được dùng trong
suốt cả quyển sách này mỗi khi nói về bố trí các dịch vụ an ninh lớp.
Nội dung của chương được chia ra thành các mục sau:
(1) Những nguyên lý chung trong phân lớp các giao thức và các thuật ngữ
kèm theo được gi
ới thiệu trong Mô hình tham chiếu cơ sở của OSI
(2) Những cấu trúc, dịch vụ và giao thức của các lớp OSI đặc thù
(3) Bộ giao thức TCP/IP của mạng Internet và quan hệ của nó với kiến
trúc OSI
(4) Bố trí cấu trúc của dịch vụ an ninh có trong mô hình bốn mức; và
(5) Phương thức quản trị các dịch vụ an ninh liên quan đến các lớp kiến
trúc

3.1 Các nguyên lý và công nghệ phân lớp giao thức
Trong thực tế, có sự truyền thông giữ
a các hệ thống thực. Để phục vụ cho
mục đích định nghĩa các giao thức truyền thông giữa chúng, các tiêu chuẩn
OSI đưa ra khái niệm về một mô hình của một hệ thống thực dưới tên gọi là
một hệ thống mở. Hệ thống của mô hình được coi là phải có cấu trúc theo
các lớp. Điều này không cần đòi hỏi các hệ thống thực cần phải được thực
thi theo các cấu trúc giống nhau, mà người dùng có thể lựa chọn cấu trúc
thực thi bất kỳ để đưa ra cách vận hành cuối cùng phù hợp với cách vận
hành được định nghĩa bởi mô hình sử dụng. Ví dụ, một thực thi có thể gộp
các chức năng của nhiều tầng kề nhau vào trong một phần mềm mà không
cần phải có ranh giới giữa các tầng.
Lịch sử phát triển
Tiêu chuẩn OSI đầu tiên
được Ủy ban Kỹ thuật TC97 của ISO công bố vào

Lớp N+1
Lớp N
Thực thể (N+1)
Hệ thống mở B
H ình 3-1: Các khái niệm phân lớp của OSI

Xét một lớp giữa nào đó, giả sử là lớp N. Trên lớp N là lớp N+1 và
lớp dưới nó là lớp N-1. Trong cả hai hệ thống mở có một chức năng hỗ trợ
lớp N. Điều này được đánh dấu bằng thực thể (N) trong mỗi hệ thống mở.
Cặp các thực thể truyền thông (N) cung cấp một dịch vụ cho các thực thể
(N+1) trong hệ thống tươ
ng ứng. Dịch vụ này bao gồm cả việc chuyển dữ
liệu cho các thực thể (N+1).
Các thực thể (N) lại truyền thông với nhau thông qua giao thức truyền
thông (N). Giao thức này bao gồm cú pháp (định dạng) và nghĩa (ý nghĩa)
của dữ liệu được trao đổi giữa chúng cộng với các quy tắc mà các giao thức
cần phải tuân theo. Giao thức (N) được truyền bằng cách sử dụng một dịch
vụ do các thực thể (N-1) cung c
ấp. Mỗi thông điệp được gửi trong giao thức
(N) được biết như một đơn vị dữ liệu của giao thức (N) (viết tắt tiếng Anh là
PDU – Protocol Data Unit).
Một nguyên lý quan trọng tuân theo khái niệm phân lớp này là tính
độc lập của lớp. Đó là một dịch vụ lớp (N) có thể được định nghĩa và sau đó
có thể được dùng để định nghĩa các giao thức cho lớp (N+1) mà không cần
bi
ết rằng nó đã được giao thức (N) sử dụng để cung cấp dịch vụ đó. Bảy lớp của OSI
Mô hình tham chiếu OSI định nghĩa bảy lớp như trình bày trên hình 3-2.

liệ
Giao thức mạng
Giao thức vận chuyển
Giao thức phiên làm việc
Giao thức trình diễn
Giao thức ứng dụng

Môi trường vật lý
Hệ thống mở A
Lớp ứng dụng
Lớp trình diễn
Lớp phiên làm việc
Lớp vận chuyển
Lớp mạng
Lớp liên kết dữ liệu
Lớp vật lý
Hệ thống mở B
Hình 3-2: Mô hình bảy lớp của OSI
thể nhìn thấy được các tài nguyên truyền thông phía sau được sử dụng
(liên kết các dữ liệu) như thế nào.
• Lớp liên kết dữ liệu (lớp 2): đảm nhận việc truyền dữ liệu trên cơ sở
điểm tới điểm và thiết lập, duy trì và giải phóng các nối ghép điểm tới
điểm. Nó phát hiện và có khả năng sửa các lỗi có thể xuất hiện ở d
ưới lớp
vật lý.
• Lớp vật lý (lớp 1): cung cấp phương tiện cơ khí, phương tiện điện,
phương tiện vận hành và phương tiện giao thức để kích hoạt, duy trì và
ngắt bỏ các nối ghép vật lý dùng để truyền dữ liệu theo bit giữa các thực
thể liên kết dữ liệu..
Hình 3-3 trình bày kiến trúc OSI có xét đến ý nghĩa các mạng con ở

Các lớp còn lại nằm trong các mục (b) và (c) trên đây là những lớp
dưới. Các giao thức phụ thuộc công nghệ của phương tiện truyền thông đều
nằm trong Lớp vật lý và Lớp liên kết dữ liệu và các lớp con của Lớp mạng
(các lớp phụ thuộc mạng con).
Chức năng cầu nối do Lớp truyền tải và các lớp con trên của Lớp
mạng đảm nhiệm. Các lớp con trên của Lớ
p mạng cho phép một giao diện
dịch vụ mạng thích hợp luôn sẵn sàng cho lớp trên với chất lượng dịch vụ sẽ
thay đổi tuỳ theo các mạng con được dùng. Lớp truyền tải có nhiệm vụ làm
cho các lớp trên nó nhìn thấy được các lớp dưới nó. Nó hoặc nhận được các
kết nối mạng với đầy đủ chất lượng của dịch vụ hoặc nâng cấp chất lượng
củ
a dịch vụ nếu cần, ví dụ, bằng cách cung cấp phát hiện lỗi và phục hồi
trong giao thức truyền tải nếu hiêu năng sửa lỗi của Lớp mạng không đầy
đủ.
Các dịch vụ và tiện ích lớp
Dịch vụ do một lớp bất kỳ cung cấp được mô tả bởi thuật ngữ các gốc dịch
vụ. Chúng đóng vai trò là các sự kiện hạt nhân tạ
i giao diện dịch vụ (trừu
tượng). Một dịch vụ lớp được chia ra thành một số các tiện ích và mỗi tiện
ích lại bao gồm một nhóm các gốc dịch vụ liên quan. Nhìn chung, một tiện
ích liên quan đến tạo và xử lý một hoặc nhiều đơn vị dữ liệu của giao thức
(PDU).
Ví dụ, trong dịch vụ truyền tải có một tiện ích nối ghép T (T-
CONNECT) dùng để thiết lập một n
ối ghép truyền tải. Nó bao gồm bốn gốc
dịch vụ (hai gốc dịch vụ ở một đầu dùng để khởi tạo thiết lập nối ghép và hai
gốc khác ở đầu kia) và hai đơn vị PDU (một đơn vị dùng để gửi dữ liệu theo
mỗi hướng). Mối liên hệ giữa các gốc dịch vụ và các đơn vị PDU được mô
tả trên hình 3-4 như một lược đồ thời gian.

lại ánh xạ trực tiếp đến kết nối phiên làm việc. Tuy nhiên, các lớp dưới đó
thì không còn cần đến ánh xạ một -một như thế. Ví dụ, một kết nối truyền tải
có thể được dùng lại nhiều lần cho các kết nối phiên làm việc, và một kết nối
mạng cũng có thể vận chuyển một số hỗn hợp các kết n
ối cùng một lúc.

Các gốc dịch
vụ truyền tải
(đầukhởitạo)
Yêu cầu
KẾTNỐIT
Xác nhận
KẾTNỐIT
Truyền tải đơn vị dữ liệu
củagiaothức (PDU)
Đáp ứng
KẾTNỐI
Hiển thị
KẾTNỐIT
Các gốc dịch
vụ truyền tải
(đầunhận)
Yêu cầu
KẾT NỐI PDU
Đáp ứng
KẾTNỐIT
Thời
Hình 3-4: Các tiện ích và các gốc dịch vụ
3.2 Các kiến trúc, dịch vụ và giao thức của lớp OSI
Lớp ứng dụng

(viết tắt tiếng Anh là ASCE – Association Control Service Element). ASE
này hỗ trợ việc thiết lập và kết thúc các phối hợp ứng dụng và nó cần phải có
trong tất cả mọi hoàn cảnh ứng dụng. Một biểu diễn thực tế của ASCE là nó
định nghĩa các thông tin của Lớp ứng dụng được vận chuyển các trao đổi
giao thức
đẻ thiết lập và kết thúc các kết nối trình diễn và các kết nối phiên
làm việc. Dịch vụ ASCE được định nghĩa trong tiêu chuẩn ISO/IEC 8650.
Một số ứng dụng dựa trên tiêu chuẩn ISO đã được định nghĩa. Các
tiêu chuẩn gồm các định nghĩa về các giao thức của Lớp ứng dụng cùng với
vật chất hỗ trợ như các định nghĩa về các mô hình thông tin và các thủ tục
cần tuân theo trong h
ệ thống. Các ứng dụng chính được nói đến trong cuốn
sách này là:
• Các hệ thống quản lý tin nhắn (viết tắt tiếng Anh là MHS – Message
Handling Systems): Ứng dụng này hỗ trợ cho việc nhắn tin điện tử gồm
gửi thư điện tử giữa các cá nhân, chuyển EDI và nhắn tin thoại. MHS đã
là một ứng dụng OSI hàng đầu trong các đặc tính an ninh hợp nhất. Ứng
dụng này và các đặc tính an ninh của nó được trình bày trong chươ
ng 13.
• Thư mục: Ứng dụng này cung cấp cơ sở để kết nối liên thông các hệ
thống xử lý thông tin sao cho cung cấp hệ thống thư mục tích hợp, nhưng
phân tán về vật lý với các công dụng tiềm ẩn khác nhau. Ứng dụng thư
mục và các đặc tính an ninh của nó sẽ được trình bày trong chương 14.
• Truyền tệp, truy nhập và quản trị (viết tắt tiếng Anh là FTAM – File
Transfer, Access, and Management): Ứng dụng FTAM có nhiệm vụ hỗ
trợ đọc hoặc ghi các tệp tin trong một hệ máy tính ở xa, truy nhập vào các
cấu thành của những tệp tin đó, và/ hoặc quản trị (ví dụ như, tạo hoặ
c
xoá) những tệp tin đó. FTAM được định nghĩa trong tiêu chuẩn ISO/IEC
8571.

thể đọc phụ lục trước bắt đầu vào phần II của cuốn sách này. Các thông tin
chi tiết về ASN.1 các bạn cũng có thể tìm đọc trong tài liệu [STE1].

Lớp phiên làm việc
Lớp phiên làm việc thực hiện các chức năng như quản trị đối thoại và đồng
bộ lại dưới sự kiểm soát trực tiếp của Lớp ứng dụng. Quản trị đối thoại hỗ
trợ các chế độ hoạt động song công và bán song công cho các ứng dụng.
Đồng bộ lại hỗ trợ chèn các dấu đồng bộ vào một cùm dữ liệu và ti
ến hành
đồng bộ với đồng bộ trước đó trong điều kiện có lỗi. Các tiêu chuẩn đối với
dịch vụ và giao thức của phiên làm việc được quy định trong tiêu chuẩn
ISO/IEC 8326 và 8327.
Các bàn luận về nội dung kiến trúc an ninh sau này sẽ kết luận rằng,
Lớp phiên làm việc không đóng vai trò trong việc cung cấp an ninh, nên các
bạn đọc chưa làm quen với lớp này có thể yên tâm bỏ qua.
Lớp truyền tải
Dịch v
ụ Lớp truyền tải được định nghĩa trong tiêu chuẩn ISO/IEC 8072. Nó
hỗ trợ truyền tải dữ liệu thông suốt từ hệ thống này đến hệ thống khác. Nó
làm cho cho các người dùng (lớp trên) của nó không phụ vào các công nghệ
truyền thông cơ sở và cho phép họ có khả năng xác định một chất lượng của
dịch vụ (chẳng hạn như các thông số về thông lượng, tần suất tái hiện l
ỗi và
xác suất hỏng hóc). Nếu chất lượng của dịch vụ của các dvụ mạng cơ sở
không thích đáng thì Lớp truyền tải sẽ nâng cấp chất lượng của dịch vụ lên
mức cần thiết bằng cách bổ xung giá trị (ví dụ phát hiện/ khôi phục lỗi)
trong giao thức riêng của nó. Dịch vụ truyền tải có cả biến thể dựa vào kết

chức bên trong của Lớp mạng
Tiêu chuẩn ISO/IEC
8880-1 về các nguyên lý
Tiêu chuẩn
ISO/IEC 8880-2
về giám sát và hỗ
trợ dịch vụ mạng
chế độ có kếtnối
Tiêu chuẩn
ISO/IEC 8880-3
về giám sát và hỗ
trợ dịch vụ mạng
chế độ không có
Tiêu chuẩn ISO/IEC 8348 về
định nghĩa dịch vụ mạng
(chế độ có kết nối, bổ xung chế
đ
ộ không kết nối và phần đánh
Hình 3-5: Các tiêu chuẩn chung đối với Lớp mạng

Tiêu chuẩn ISO/IEC 8648 giới thiệu một số thuật ngữ và khái niệm
quan trọng và mô tả cách các khái niệm xây dựng mô hình OSI trong lớp
này ánh xạ đến các cấu thành mạng thực tế như thế nào. Khái niệm một một
hệ thống cuối (được đưa ra trong mô hình tham chiếu OSI) tạo ra mô hình
một thiết bị hoặc một nhóm các thiết bị thự
c thi một ngăn xếp đầy đủ bảy
lớp. Còn khái niệm hệ thống trung gian được đưa ra trong Lớp mạng. Một
hệ thống trung gian chỉ thực hiện các chức năng có ở trong ba lớp OSI thấp
nhất. Một hệ thống cuối có thể truyền thông với một hệ thống cuối khác một
cách trực tiếp hoặc thông qua một hoặc nhiều hệ thống trung gian khác.