Đồ án tốt nghiệp Đại học Chương 4. Bảo mật trong VPN
CHƯƠNG 4
BẢO MẬT TRONG VPN
Một trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo
mật dữ liệu của họ. Bảo mật dữ liệu chống lại các truy nhập và thay đổi trái
phép không chỉ là một vấn đề trên các mạng. Việc truyền dữ liệu giữa các máy
tính hay giữa các mạng LAN với nhau có thể làm cho dữ liệu bị tấn công và dễ
bị thâm nhập hơn là khi dữ liệu vẫn còn trên một máy tính đơn.
Bảo mật không phải là vấn đề riêng của VPN mà thực tế là mối quan tâm
và thách thức của tất cả các tổ chức có nhu cầu sử dụng môi trường mạng
Internet để trao đổi thông tin. Để thực hiện bảo mật cho dữ liệu trong mạng
VPN người ta thực hiện hai quá trình đó là xác thực (Authentication) và mật mã
(Encryption).
4.1 Quá trình xác thực
Xác thực là một phần không thể thiếu được trong kiến trúc bảo mật của
một mạng VPN. Xác thực được dựa trên ba thuộc tính: Cái gì ta có (một khoá
hay một card token); cái gì chúng ta biết (một mật khẩu); hay cái gì chúng ta
nhận dạng (giọng nói, quét võng mạc, dấu vân tay,..). Xác thực là thuật ngữ
dùng chung, nó bao gồm hai khái niệm: Xác thực nguồn gốc dữ liệu và xác thực
tính toàn vẹn dữ liệu.
4.1.1 Xác thực nguồn gốc dữ liệu
a) Mật khẩu truyền thống
Thực tế cho thấy, các loại xác thực đơn giản, như số nhận dạng ID của
người dùng, mật khẩu không đủ mạnh cho việc bảo mật truy cập mạng. Mật
khẩu có thể bị đón bắt và giữ lấy trong suốt quá trình truyền dữ liệu của mạng.
Hệ thống mật khẩu một lần là phương pháp tốt sử dụng mật khẩu truyền thống.
* Hệ thống mật khẩu một lần
Để ngăn chặn việc sử dụng trái phép, các mật khẩu bị giữ lại và ngăn
không cho chúng không được dùng trở lại, bằng cách cầu một mật khẩu mới cho
phiên làm việc mới.
Những hệ thống này, thì mỗi khi người dùng đăng nhập vào mạng thì luôn

Máy tính
xác thực
Yêu cầu truy cập
Thách đố
Đáp ứng
Cho phép
1
3
2
Hình 4.1: Hệ thống đáp ứng thách đố người dùng
Đoàn Thanh Bình, D01VT
78
Đồ án tốt nghiệp Đại học Chương 4. Bảo mật trong VPN
CHAP là một giao thức bắt tay ba chiều bởi vì nó bao gồm ba bước để thực
hiện kiểm tra một kết nối, sau khi kết nối được khởi tạo đầu tiên hay tại bất kỳ
thời điểm nào sau khi kết nối được thiết lập. Thay vì dùng một mật khẩu hay
tiến trình chấp nhận giống như trong PAP, CHAP sử dụng một hàm băm một
chiều (one-way hashing function).
1. Máy tính xác thực gửi một bản tin thách đố (challenge massage) đến máy
tính ngang cấp (peer).
2. Máy tính ngang cấp tính toán một giá trị sử dụng một hàm băm một chiều
và gửi lại cho máy tính xác thực.
3. Máy tính xác thực có thể đáp ứng chấp nhận nếu giá trị gửi lại tương ứng
với giá trị mong muốn.
Tiến trình này có thể lặp lại tại bất kỳ thời điểm nào trong suốt quá trình
kết nối để đảm bảo rằng kết nối luôn được nắm quyền và không bị suy yếu trong
mội trường hợp. Máy chủ điều khiển quá trình xác thực tại CHAP.
PAP và CHAP có nhược điểm giống nhau, đó là:
- Đều phụ thuộc vào một mật khẩu bí mật được lưu trữ trên máy tính
của người dùng ở xa và máy tính nội bộ. Nếu bất kỳ một máy tính

e) Dịch vụ xác thực người dùng quay số từ xa- RADIUS
RADIUS (Remote Authentication Dial-In Use Service) cũng sử dụng kiểu
client/server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa
của các người dùng với các phiên làm việc. RADIUS giúp cho việc điều khiển
truy cập dễ quản lý hơn và nó có thể hỗ trợ các kiểu xác thực người dùng khác
nhau bao gồm PAP, CHAP.
Kiểu RADIUS client/server dùng một máy chủ truy cập mạng NAS để
quản lý các kết nối người dùng. NAS có trách nhiệm chấp nhận các yêu cầu kết
nối của người dùng, thu thập các thông tin nhận dạng người dùng, mật khẩu
đồng thời chuyển thông tin này một cách bảo mật tới máy chủ RADIUS. Máy
chủ RADIUS thực hiện xác thực để chấp nhận hay từ chối cũng như khi có bất
kỳ dữ liệu cấu hình nào được yêu cầu để NAS cung cấp các dịch vụ đến đầu
cuối người dùng. Các client RADIUS và máy chủ RADIUS truyền thông với
nhau thông với nhau một cách bảo mật bằng việc sử dụng các bí mật dùng
chung cho việc xác thực và mã hoá trong truyền mật khẩu người dùng.
RADIUS tạo cơ sở dữ liệu đơn và tập trung và được lưu giữ tại máy chủ
RADIUS nhằm quản lý việc xác thực người dùng và các dịch vụ. Một người
dùng ở xa sử dụng RADIUS client sẽ có quyền truy cập đến các dịch vụ như
nhau từ bất kỳ một máy chủ nào đang truyền thông với máy chủ RADIUS.
Đoàn Thanh Bình, D01VT
80
Đồ án tốt nghiệp Đại học Chương 4. Bảo mật trong VPN
f) Các hệ thống phần cứng cơ bản
+ Smart card
Card thông minh (Smart card) là thiết bị có kích thước giống như một thẻ
tín dụng, bao gồm: một bộ vi xử lý được gắn chặt vào card và một bộ nhớ. Một
thiết bị đọc tương đương cho Smart card được yêu cầu để giao tiếp với Smart
Card. Smart Card có thể lưu giữ một khoá riêng của người dùng cùng với một số
ứng dụng nhằm đơn giản hoá tiến trình xác thực. Một số Smart Card hiện nay
gồm một bộ đồng xử lý mã hoá và giải mã làm cho việc mã hoá dữ liệu dễ dàng

sau 60 giây. Người dùng được nhắc cho con số khi cố gắng đăng nhập vào
máy chủ. Do các đồnghồ trên máy chủ và thẻ được đồng bộ nên máy chủ có
thẻ xác thực người dùng bằng cách giải mã con số thẻ và so sánh các kết
quả.
- Cơ chế đồng bộ sự kiên (event Synchronzation); theo cơ chế này, một bộ
đếm ghi lại số lần vào mạng được thực hiện bởi người dùng. Sau đó mỗi lần
vào mạng, bộ đếm được cập nhật và một mã nhận dạng khác được tạo ra
cho lần đăng nhập sau.
g) Hệ hống sinh trắc học
Hệ thống sinh trắc học dựa vào một số dấu vết cá nhân duy nhất để xác
thực người dùng như: vân tay, giọng nói, võng mạc…Tuy nhiên hệ thống được
sử dụng rộng rãi trong thực tế bởi vì giá thành đắt và các hệ thống bảo mật này
thường tích hợp trong một, làm cho chúng khó khăn trong việc giao tiếp với các
hệ thống khác. Hệ thống sinh trắc học chỉ phù hợp cho những nơi cần độ bảo
mật cao nhất và trong một phạm vi nhỏ.
4.1.2 Xác thực tính toàn vẹn dữ liệu
Xác thực tính toàn vẹn dữ liệu (Data integrity) bao gồm hai vấn đề:
- Phát hiện các bản tin bị lỗi (corrupted message): Phát hiện các lỗi bit đồng
thời xác định nguyên nhân lỗi là do phương tiện truyền dẫn hoặc do thiết bị
xử lý, lưu trữ. Giải pháp cho vấn đề này là sử dụng một giản lược thông
điệp MD (Message Digest) cho mỗi bản tin. MD hoạt động như một dấu
vân tay cho phép xác định duy nhất một bản tin.
- Bảo vệ chống sửa đổi bất hợp pháp bản tin (unauthorized modification):
Phát hiện ra những bản tin đã bị sửa đổi một cách bất hợp pháp trong quá
trình truyền dẫn. Có hai giải pháp cho vấn đề này trên cơ sở sử dụng mật
mã khoá đối xứng và mật mã khoá công cộng. Giải pháp khoá đối xứng tạo
ra một mã xác thực bản tin MAC (Message Authentication Code) dựa trên
một hàm giản lược thông điệp có khoá tác động (Keyed message digest
function). Giải pháp khoá công cộng tạo ra một chữ ký số (digital signature)
bằng cách mật mã giản lược thông điệp MD với khoá công khai của người

Hình 4.2: Hàm băm thông dụng MD5, SHA-1
MD có độ dài cố định hoạt động như một dấu vân tay duy nhất cho một bản
tin có độ dài tuỳ ý. Với độ dài thông thường của một MD từ 128 đến 256 bit thì
có thể đại diện cho 10
38
÷10
70
giá trị vân tay khác nhau.
Có hai hàm băm thông dụng là MD5 (Message Digest #5) và SHA
(Security Hash Function). MD5 do Ron Rivest (RSA Security Inc) phát minh,
tính giá trị hash 128 bit (16 Byte) từ một bản tin nhị phân có độ dài tuỳ ý. SHA
Đoàn Thanh Bình, D01VT
83