Tài liệu Giải pháp bảo vệ thông tin voip trên mạng internet intranet

ĐẠI HỌC QUỐC GIA HÀ N ộỉ K H O A CÔNG NG HỆ暑 Đào Văn Thành GIẢI PHÁP BẢO VỆ THÔNG TIN VoIP TRÊN MẠNG INTẼRNET/INTRANET Chuyên ngành: Công nghệ Thông tin Mã số: 1.01.10 LUẬN VĂN THẠC s ĩ NGƯỜI HƯỚNG DẪN KHOA HỌC ： PGS.TS Nguyễn Văn Tam Hà Nội - 1 2 / 2 0 0 3 M Ụ C LỤC Trang CÁC TỪ VIÉT T Ắ T ................................................................................................. 4 MỎ Đ À U ........................................................................................................................ 6 CHƯƠNG 1: G íớ l T H IỆ U VẺ TCP/IP...................................................................... 8 1.1. Kiến trúc mạng........................................................................................................8 1.1.1 M ô h in h ò s 丨...............................................................................................................9 1.1.2 Mô hình mạng TCP / IP .................................................................................... 11 1.1.3 Đ ó n g g ó i.............................................................................................................................................. 12 1.2 Giao thức Internet (IP )........................................................................................................ 13 1.2.1 Đ ịa c lìiIP .................................................................................................................. 13 1.2.2 Cấu trúc gói số liệu IP.......................................................................................14 1.2.3 Phân mảnh và hợp nhất mảnh................................................................................. 15 1.2.4 Định tuyến IP ........................................................................................................ 16 1.3 Gịao thức gói dữ liệu thuê bao - UD P ........................................... ..................... 16 t.4 G b o thúc TCP....................................................................................................... 17 1.4.1 Phần tiêu đề của TCP...............................................................................................18 1.4.2 Thiết lập kết n ố i................................................................. .................................. 19 1.4.3 Giao (hức kết thúc kết n ố i.......................................................................................20 1.5 Giao thức chuyển vận thòi gian thực RTP.......................................................... 20 1.5.1 Phần tiêu đề của RTP...............................................................................................21 1.5.2 Giao thức điều khiển RTCP - RTP...................................................................22 CHƯƠNG 2: KỸ THUẬT ĐIỆN THOẠI I P ......................................................................23 2.1 Các vấn đề co. bản của mạng điện th o ạ i................................................... ........ 23 2.1.1 Tín hiệu thoại tương tự và tín hiệu số...............................................................23 2.1.2 CSU/DSƯ........................................................................................................ 23 2.2 Tổng quan về V o IP ..............................................................................................................24 2.2.1 VoIP................................................................................................................ 24 2.2.2 Hoạt dộng của VolP.. .. ............................................................24 2.2.3 Thuận lợi khi sử dụng VoIP.............................................................................24 2 2.3 Kỹ thuật điện tlioại 1P.........................................................................................25 2.3.1 Gợi báo hiệu............................................................................................................. 25 2.3.2 Giao thức bắt đầu cuộc gọi Sll.)....................................................................... 26 2.3 3 H 323.......................... ...................................................................................................... 29 CHƯƠNG 3: AN TOÀN TRONG MẠNG IP .................................................................. 39 3.1 Vấn đề an toàn thông tin .................................................................................... 39 3.1.1 An toàn và sự tin cậy ......................................................................................39 3.1.2 Hình thức của an to à n ...................................................... .....................................40 3.1.3 Sự đe dọa an toàn...................................................................................................41 3.1.4 Tấn công.........................................................................................................42 3.1.5 Nhược điểm của TCP / IP.............................................................................. 45 3.2 Bức tưòng lửa......................................................................................................47 3.2.1 Chiến lược an toàn................................................................................................ 48 3.2.2 Kỹ thuật Firewall........................................................................................... 49 3.2.3 Kiến trúc F ire w a ll................................................................................................. 51 3.3 Mật m ã................................................................................................................ 54 3.3.1 Chứng thực.............................................................................................................54 3.3.2. Hàm băm (hash).............................................................................................55 3.3.3 Mật mã khoá đối xứ n g..........................................................................................57 3.3.4. Mật mã khoá không đối xứng......................................... ...............................59 3.3.5 Chíĩ ký S ố ..............................................................................................................61 CHƯƠNG 4: PHÂN TÍCH s ự AN TOÀN TRONG VO IP.........................................62 4.1 Phân tích mối đe dọ a ..........................................................................................62 4.1.1 Định nghĩa mối đe dọa............................................................................................ 63 4.1.2 Thao tác của dữ liệu kế toán............................................................................ 63 4.1.3 Gọi trực tiếp.....................................................................................................64 4.1.4 Giả danh E ndpoint.................................................................................................. 64 4.1.5 Giả danh G K . . . . . . . . . .. ........... .................................65 4.1.6 Đóng vai BES................................................................................................. 66 4.2 Các kiến trúc giao th ứ c........................................................................................67 4.2.1 H.323 củaỉTƯ - T ..................................................... ......... ••••"■… ..68 4.2.2 SIP của IE T F ................................. ........... .. . . . .…... . ... .69 4.2.3 MGCP / MEGACO / H.248 của IETF và ITU - T ............................. ..... .70 Mục lục 4.3 Nhũng yêu cầu an toàn cho V oIP .....................................................................................11 4.3.1 Định nghĩa những phần tử cơ bản và chìa khoá của một hệ thống VoIP........71 4.3.2 Những đặc trưng an toàn của VoIP...................................................................72 4.3.3 Yêu cầu an toàn chức năng.............................................................................. 73 4.3.4 Yêu cầu an toàn kỹ thuật.................................................................................. 73 4.4 Những ràng buộc an toàn của V oIP................................................................................. 73 4.4.1 Tính nhạy cảm trễ của V oIP ............................................................................ 73 4.4.2 Xác định dạng thông bậo.................................................................................74 4.4.3 An toàn End to End, Hop to Hop..................................................................... 74 4.4.4 Những ví dụ thực cùa vấn đề an toàn...............................................................75 4.4.5 Đề xuất một giải pháp an toàn cho VoIP..........................................................76 4.5 Mô hình thử nghiệm.............................................................................................77 4.5.1 Chuyển đổi giữa âm thanh và IP...................................................................... 77 4.5.2 Sử dụng mã mật cho an ninh VoIP.................................................................. 78 KÉT LUẬN.............................................................................................................................80 TÀ丨 U Ệ U THAM K H Ả O ................................................................. .............. ........................81 Mục lục CÁC T Ừ V IÉ T TÁT Viết tắt ARJ ARP ARQ Administrative Domain Automatic Call Distribution Analog to Digital Convert American National Standards Institute Adminssion Reject Address Resolution Protocol Adminssion Request ATM Asynchronous Tranfer Mode BES CBC CDR Back - End Sevice Cipher Block Chaining Call Detail Recorde Channel Service Unit Digital to Analog Convert Disengage Confirm Distribute Denial o f Service Data Encryption Standard Demilitarized Zone Domain Name Server Denial o f Service Disengage Request Digital Signature Standard Data Service Unit Electronic Code Book End Point Fiber Distribute Data Interface File Transfer Protocol Gatekeeper Confimation Gatekeeper Gatekeeper Request Gateway Hashed Message Authentication Code Hypertext Transfer Language AD ACF ADC ANSI csu DAC DCF DD oS des DMZ DNS DoS DRQ DSS DSƯ ECB EP FDDI FPT GCF GK GRQ GW HMAC HTML Tiếng Việt Tiếng Anh Vùng quản trị Xác nhận yêu câu truy nhập Chuyên đôi từ tương tự sang sô Viện tiêu chuẩn quốc gia Mỹ Trừ chôi truy nhập Giao thức giải quyêt địa chỉ Yêu câu truy nhập Phương thức truyên dân không đôr bộ Mât mã khôi chuôi Ghi chi tiêt cuộc gọi Đơn vi• diclì • vu• kênh Chuyên đôi từ sô sang tương tự Xác nhận không bận Từ chôi phân phôi dịch vụ Tiêu chuân mã dữ liêu Vùng phi quân sự Hệ thông tên vùng Từ chôi dịch vụ Yêu câu giải phóng Chuân tín hiệu sô Đơn vi dich vu dữ liêu Sách mã điện tử Điêm cuôi Giao diện dữ liệu phân chia quang Giao thức truyên tệp Xác nhân GK Gác công Yêu cây GK Công vào ra 7 Mã xác thực thông báo hàm băm Ngôn ngữ siêu văn bản Các từ viết tắt ISDN IETF 1P ISO LAN MAA MC MCS MCU MDC Integrated Services Digital Network Internet Engineering Task Force Internet Protocol International Standard Orgnazation International Telecommunication Union International Telecommunication Union - Telecommunication Standardization . Local Area Network Message Authenticator Algorithm Multipoint Control Multipoint Communications System MultipointControl Unit Media Gateway Controller MGCP Media Gateway Control Protocol MTU NAT OSI Maximun Transmision Unit Network Address Translate Open System Interconnection PSTN Puplic Switch Telephone Network RA§ RRJ RRQ RSA RTCP RTP Registration Admission Status Registration Reject Registration Request Rivest Shamir Adelman Real Time Control Protocol Real-Time Transport Protocol SGCP Simple Gateway Control Protocol SIP TCP TLS UDP URJ ÜRQ VoIP WAN Session Initiation Protocol Transfer Control Protocol Transfer Layer Security User Datagram Protocol Unregister Reject Unregister Request Voice Over IP Wide Area Network ITU ITU-T Mạng sô dịch vụ tích hợp Nhóm làm việc nghiên cứu Interne Giao thức Internet Tô chức tiêu chuẩn hoá Quốc tể Hiệp hội viễn thông Quốc tế Tiêu chuẩn viễn thông của Hiệp hộ viễn thông Quốc tế Mạng cục bộ Thuật toán xác thực thông báo Bộ điêu khiên đa diêm Hệ thống liên lạc đa điểm Khôi điêu khiên đa điêm Điêu khiên công truyên thông Giao thức điêu khiên công kêt nôi truyền thông Đơn vị truyên dân cực đại Chuyên đôi địa chỉ Kêt nôi hệ thông mở Mạng chuyên mạch diện thoại công cộng Tình trạng quản trị đăng ký Từ chôi đăng ký Yêu câu dăng ký Giao thức điêu khiên thời gian thực Giao thức truyền dẫn thời gian thực Giao thức điêu khiên cổng kết nối đơn giản Giáo thức băt đâu phiên họp Giao thức điêu khiên truyên dân An toàn tâng chuyên vận Giao thức gói dữ liệu thuê bao Từ chôi yêu câu đăng ký Yêu câu không đăng ký Thoại qua IP Mạng diện rộng A 'ỳ V 1 Các từ vỉct tắt M Ở ĐÀU Xu hướng truyên thông là tât cà các dịch vụ tích hợp trong một hệ tliông mạng, từ các dịch vụ truyền dữ liệu dạng văn bàn, hình ảnh… đến các dịch vụ diện thoại, video, hội thảo qua mạng mang yếu tố thời gian thực. Trong cùng một thời điểm có thể sử dụng nhiều dịch vụ thông qua một đường truyền. Dịch vụ điện thoại sử dụng công nghệ IP (VoIP: Voice Over Internet Protocol) đã được áp dụng, khai thác khá nhiều và chắc chắn còn phát triển mạnh trong thời gian tới. Tại Việt Nam hiện nay đã có các nhà cung cấp dịch vụ này. Với lợi thế cạnh tranh, VoIP đã cung cấp cho người tiêu dùng một dịch vụ thoại với giá cả hấp dẫn. VoIP là một công nghệ mà tiếng nói có thể được chuyển từ những mạng chuyển mạch tới hoặc qua những mạng IP. Kỹ thuật điện thoại VoIP là việc truyên tiêng nói qua giao thức Internet (IP). Internet là nhiêu mạng dược nối với nhau cùng sử dụng giao thức IP. Do vậy các gói tin tiếng nói rất dễ bị lấy nên thông tin có thể bị lộ không đảm bảo an ninh. ^ f y Để đảm bảo tính bí mật cá nhân cũng như các trao thông tin khác trong việc sử / dụng dịch vụ này đòi hỏi phải có một cơ chê bảo mật sao cho chỉ những người thực sự 、 tham gia đàm thoại mới có thê hiêu được nội dung đàm thoại là một yêu câu cân thiêt. Các giao thức truyên tiêng nói qua IP đã thực hiện tuy nhiên chưa đủ độ an toàn. Hiện nay đã có một số hãng trên thế giới đưa ra sản phẩm giải quyết vấn đề trên. Tuy nhiên chưa có giài pháp triệt để, hơn nữa với việc sử dụng sản phẩm có sẵn cho việc đảm bảo • » 2 \ z an toàn là không đủ tin cậy đôi với các thông tin quan trọng (đặc biệt các thông tin liên quan đến an ninh quốc gia...). Đe có được sản phẩm sử dụng thực sự tin cậy thì cần phải hiểu, làm chủ công nghệ và đưa ra giải pháp riêng đảm bảo an toàn cho dịch vụ VoIP. Luận văn sẽ đề cập đến một số kiến thức cơ bản về IP, những vấn đề chung của * 、 an toàn, đê cập đên lĩnh vực VoIP, nguyên lý cơ bàn, phân tích sự an toàn cùa VolP và từ đó đề xuất một giải pháp an ninh cho VoIP, xây dựng một mô hình đảm bảo an ninh cho VolP trên mạng IntemeƯIntranet. Đóng góp của luận văn: Luận văn trình bày tóm tắt lý thuyết mạng IP, các kỹ thuật cơ bản của điện thoại IP, các giao thức sử dụng cho truyền tiếng nối qua Internet. Phân tích và nêu ra những nguy cơ mất an toàn trong mạng IP nói chung và trong VoIP nói riêng từ đó đề xuất một giải pháp an ninh cho VoIP. Đưa ra một mô hình đảm bảo an ninh cho VoIP trên mạng Intemet/Intranet. Mỏ. đầu 7 Cẩu trúc của luận văn: Luận bao gồm 4 chương • Chương 1: Một số kiến thức cơ bản về TCP/IP: Chương này giới thiệu một cácl tóm lược về giao thức TCP/IP, UDP, R I P ,... • Chương 2: Kỹ thuật điện thoại IP: Nêu ra một số vấn đề cơ bản của mạng điệr thoại IP, tổng quan về VoIP, Kỹ thuật điện thoại IP. / f y • Chương 3: An toàn trong mạng IP: Chương này trình bày một sô vân đê an toàr trong mạng IP, nêu ra hai giải pháp an toàn chính trong mạng IP đó ]à bức tường lửa và mật mã. • Chương 4: Phân tích sự an toàn: Chương này phân tích một số mối đe doạ mấi an toàn cho VoIP, nêu một số kiến trúc giao thức sử dụng trong VoĩP, một SC yêu câu, ràng buộc vê an ninh, an toàn của VoIP từ đó đê xuât một giải pháp tôi hơn cho vân đê an ninh khi truyên tiêng nói qua IntemeƯIntranet. Đê xuât một giải pháp an ninh cho VoIP và đưa ra một mô hình an ninh PC to PC sử dụng giải pháp đề xuất. K r \ 、 ' % » Do thời gian nghiên cứu có hạn, hơn nữa đây là đề tài mới, ít tài liệu chắc luận văn còn nhiều sai sót, rất mong các Thầy cô, các bạn đồng nghiệp góp ý kiến. Tôi xin chân thành cám ơn các ĩh ầy cô trong Khoa Công nghệ Đại học Quốc Gia Hà Nội đã cung cấp cho tôi nhiều kiến thức cơ bản, đặc biệt tôi xin chân thành cảm ơn Phó giáo sư, Tiến sĩ Nguyễn Văn Tam người đã nhiệt tình hướng dẫn và góp nhiều ý kiến quí báu giúp tôi hoàn thành luận văn này. Mỏ đầu C huông 1: G IỚ I T H IỆ U V È TC P /IP Vào đầu năm 1973 Internet được bắt đầu nghiên cứu với mục tiêu phát triển những giao thức cho phép các máy tính ở những mạng khác nhau cỏ thể được kết nối với nhau. Giao thức phát triên nhât, được chúng ta biêt đên và sử dụng đó là giao thức TCP/IP. Bộ giao thức này là cơ sở cho nhiều ứng dụng và dịch vụ như truyền tiếng nói qua Internet. Chương này sẽ trình bày một số nội dung cơ bản về kết nối mạng và những giao thức quan trọng nhất để thực hiện VoIP. Bao gồm hai mô hình cho một kiến trúc mạng, mô hình ISO - OSI và mô hình TCP / IP. Giới thiệu những giao thức IP, giao thức gói dữ liệu người dùng (ƯDP), TCP và giao thức truyền đảm bảo thời gian thực (RTP). 1.1. Kiến trú c mạng Mạng máy tính được xây dựng để kết nối các máy tính với nhau, nó yêu cầu nhiều phần mềm phức tạp. Để làm đơn giản việc thực hiện của những chương trình úng dụng một lớp trừu tượng hóa được đưa ra. Những chương trình muốn truy nhập các hàm mạng phải qua một giao điện. Hình 1.1 mô tả kiến trúc tổng quát của TCP(UDP)/ÍP[11] ^ 、1 Telnet FTP SMTP DNS SNMP RIP Transmision Control Protocol (TCP) ARP Ethernet User Datagram Protocol (UDP) ICMP Internet Protocol (IP) Token bus Token FDD! Hình 1.1 Kiến trúc TCP(UDP)/I1) Giói thiệu về TCP/IP 9 TCP(UDP)/IP thực chất là một họ giao thức cùng làm việc với nhau để cung cấp phương tiện truyền thông liên mạng. Kiến trúc mạng tiêu biểu được phân ra vào trong các lớp. Mỗi lớp đại diện một khía cạnh khác nhau của hệ thống. Truyền thông với những lớp khác được thực hiện qua các giao diện. Hỉnh 1.2 mô tả một ví dụ cho một săp xêp từng lớp câu trúc. Lớp thấp nhất là lớp phần cứng, nó là cơ sở cho mạng máy tính. Mọi thứ nối tới phần cứng thuộc về lớp này. Lớp tiếp theo cung cấp kết nổi giữa các máy (host). Nó thực hiện việc gửi dữ liệu giữa hai máy tính. Nó cung cấp một giao diện để truy nhập các dịch vụ và sử dụng lớp phần cứng cho thao tác. Truyền thông của hai ứng dụng trên về các máy khác nhau yêu cầu một sổ loại kênh giữa quá trình của các ứng đụng [11]. r t r application layer process-to-proœss channel host-to-host connectivity hardware Hình 1.2 : Một mô hình của các lớp kiến trúc mạng Có hai mô hình cho các kiến trúc mạng. Tiêu chuẩn mô hình cho nối mạng các giao thức và các ứng dụng phân tán là mô hình từ Tố chức Quốc tế cho tiêu chuẩn hóa (ISO). Tuy nhiên, mô hình sử dụng trong Internet là bộ giao thức TCP/IP . 1.1.1 Mô hình OSI Năm 1978 tổ chức Tiêu chuẩn hoá Quốc tế (International Standard Organization - ISO) ban hành tập hợp đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc nối kết những thiết bị không cùng chủng loại. Vào năm 1984, ISO đưa ra bản sửa đổi mô hình này và gọi là mô hỉnh tham chiếu mạng hệ mở (Open Systems Interconnection - OSI). Hệ thống mờ là mô hình của ISO. Nó được chỉ rõ trong tiêu chuẩn ISO/ĨF,C 7498 1. Giới tbiệu về TCP/IP 10 application layer presentation layer session layer transport layer network layer data link layer physical layer Hình 1.3 : Mô hình tham chiếu OSI. Theo mô hình OSI，chức năng hay dịch vụ của một hệ thống truyền thông được hia làm 7 lớp, tương ứng với mỗi lớp dịch vụ là một lớp giao thức (có thể một hoặc hiều giao thức) [11]. Các lớp này có thể do phần cứng hay phần mềm thực hiện. Mỗi ýp trên thực hiện dịch vụ của mình trên cơ sở sử dụng các dịch vụ ở phía dưới và theo úng giao thức qui định tương ứng. Thường các dịch vụ mức thấp do phần cứng đảm hiệm, các dịch vụ mức cao do phần mềm đảm nhiệm. Việc phân lớp không những có ý nghĩa trong việc mô tả, đối chiếu các hệ thống •uyên thông mà còn giúp ích cho việc thiêt kê các thành phân giao diện mạng. Trong lỗi lớp bất kỳ có thể thay đổi các thực hiện mà không ảnh hưởng tới các lớp khác, hừng nào nó còn giữ nguyên giao diện với lớp trên và lớp dưới nó. Các hàm mạng phân vào trong bảy lớp. Hoạt động của mỗi lớp có thể được thực iện bởi một hoặc nhiều giao thức. Mô hình OSI là một mô hình tham khảo cho sự lực thi của các giao thức. Hình 1.3 minh họa mô hình OSI. Mô hinh OSI là kiến trúc uyền thông mạng thành bảy tầng. Mỗi tầng OSI có những chức năng mạng định rõ. ác chức năng của mỗi tầng giao tiếp với chức năng của tầng ngay trên hoặc dưới nó. \Lớp vật lý Nó định nghĩa môi trường vật lý trên đó dữ liệu được truyền và có trách nhiệm ý'ì sự truyền của những tín hiệu qua những mối liên kết truyền thông. I Lớp liên kếí dữ liệu Có trách nhiệm tiếp nhận các khung dữ liệu từ lớp mạng rồi chia nhỏ chúng ành từng đoạn gồm các bit để cho lớp vật lý vận chuyển. Khi dữ liệu được tiếp nhận lớp vật lý, các bit sẽ được xây dựng trở lại thành các khung rồi chuyển cho lớp ạng. Các cơ chế đồng bộ hoá, kiểm soát lỗi và kiểm soát luồng dữ liệu đều được thực ện ở lớp này. Giới thiệu về TCP/IP 11 3) Lớp mạng Có trách nhiệm tìm ra lộ trình tốt nhất để gửi các khung đừ liệu qua liên kết mạng với công nghệ chuvển mạch thích hợp. Thực hiện kiểm soát luồng dữ liệu và ghép hoặc tách dữ liệu nếu cần. Lớp này cung cấp địa chỉ logic, cho phép 2 hệ thống khác biệt nhau trên các mạng logic khác nhau có thể có đường thông với nhau. 4) Lớp chuyển vận Lớp này bảo đảm cho dữ liệu đi đến đích thành công. Nó thực hiện truyền dữ liệu giữa 2 nút và thực hiện cả việc kiểm soát lỗi, kiểm soát truyền dữ liệu giữa 2 nút. Ngoài ra nó còn thực hiện việc ghép kênh hay phân kênh. 5) Lớp phiên Chịu trách nhiệm thiết lập, duy trì, đồng bộ hoá và huỷ bỏ một phiên truyền thông giữa 2 trạm hoặc 2 nút mạng. 6) Lớp trình diễn Lớp này chịu trách nhiệm tiếp nhận yêu cầu tập tin từ lớp ứng dụng rồi trình các yêu cầu này cho lớp phiên. Việc chuyển đổi cú pháp dữ liệu như tái định dạng, nén, giải nén hoặc mã hoá, giải mã dữ liệu đều thực hiện ở lớp này. 7) Lớp ứng dụng \ r \ \ Chịu trách nhiệm vê giao tiêp với phân mêm ứng dụng. Định nghĩa cách thức chương trình ứng dụng truy cập các dịch vụ truyền thông, đồng thời nó còn cung cấp dịch vụ thông tin phân tán như: Thư điện tử, trình duyệt Web... 1.1.2 M ô hình mạng TC P ỉ IP application TCP UDP IP link layer Hình 1.5 : Kiến trúc giao Ihức TCP/IP Mô hình TCP I IP là kiến trúc mạng của Internet. Hình 1.5 niinh họa mô hình TCP / IP. Các lớp của nó không hoàn toàn phân chia như trong mô hình OSI. Nó có thể cho các ứng dụng truy nhập các dịch vụ của mỗi lớp. Lớp liên kết: gồm có nhiều giao thức mạng khác nhau. So sánh với mô hình OSI ta thấy rang hoạt động của lớp mạng trong mô hình TCP / IP tương ứng với lớp vật lý và lớp liên kết (lớp một và hai). Lớp thử 2: gồm có IP tương ứng với lớp mạng trong mô hình ISO. Chức năng cùa nó là cung cấp một mạng trong suốt với một giao diện. Các mạng con có thể gồm có các công nghệ mạng khác nhau với những giao thức khác nhau. Giới thiệu về TCP/IP 12 Lớp thứ 3: cùa TCP / IP tương đương với lớp chuyển vận, lớp 4 của mô hình OSI. Có hai giao thức khác nhau hình thành lớp này, UDP và TCP. Chúng cung cấp các kênh lôgíc thay cho các ứng dụng. TCP đề nghị một kết nối dáng tin cậy có thế được thấy như một kênh dòng - byte ( byte-stream channel), trong khi UDP cung cấp mộl dịch vụ gói dừ liệu không đáng tin cậy. các byte gửi một dòng TCP đến một đầu cuối khác của kênh theo thứ tự chúng được gửi. ứng dụng không quan tâm về sự mất mát dữ liệu. Dịch vụ của UDP gửi những gói dữ liệu của nó (những thông báo riêng lẻ) không có bât kỳ bảo đảm nào của sự giao nhận. Lớp cuôi cùng là lớp ứng dụng, chứa đựng tính hoạt động của ứng dụng. • 1.1.3 Đóng gói Đóng gói mô tả quá trình xây dựng các khung thực tể được gửir dữt liệu mà một * > * ỳ ứng dụng muôn truyên qua mạng ra ngoài. Thông tin bô sung cân thiêt đê gửi dữ liệu ứng dụng cho nút khác. Đóng gói một ứng dụng được ệiả thiết ờ trên lớp chuyển vận các TCP/IP và sử dụng TCP như giao thức vận chuyen. Khung trên lớp liên kết là khung Ethernet. Ethernet là một công nghệ có thể để thực hiện ờ lớp liên kết [3]. application data 1L — __ ____ TCP headGí 1f IP hỡQdỡr ĩr TCP Sôgmônl 1^ Ethernet header t application data 1r IP datagram Ethernet traitor Hình 1.6 : Đóng gói dữ liệu người dùng vào trong một ứng dụng khung Ethernet Có thể bỏ qua lớp chuyên chờ và trực tiếp truy nhập dịch vụ đề nghị bởi lớp liên kết. Dữ liệu gửi bởi ứng dụng phải đi qua chồng các giao thức. Các dữ liệu ứng dụng di qua các lớp được gọi là tải tin (payload) của giao thức. Địa chỉ của lớp vận chuyển là dừ liệu riêng của nó. Phần tiêu đề TCP tới tài tin và các chuyển tiếp gói tới lớp tiếp theo, IP sắp thành từng lớp. Một gói TCP cũng được gọi một phân mảnh TCP. 1P nối vào dữ liệu phần tiêu đề của nó tới các phân mảnh TCP để hình thành một gói dữ liệu IP và cti qua nó tới lớp liên kết. Giao thức lớp liên kết sắp thành từng lớp (ở đây là Ethernet) xây dựng khung chung và gửi nó đến đích. Trong đa số các trường hợp phần tiêu đề dữ liệu được thêm ở đầu của gói. Tuy nhiên, một sô giao thức thêm dữ liệu ở đâu và cuôi của truyền tải. Dữ liệu thêm khi bắt đầu gọi một phần tiêu đề và dữ liệu nối vào tải tin gọi. Mỗi lớp có dữ liệu phần tiêu đề của mình. Nó chuyên phần tiêu đề này cùng với tải tin qua tới lớp tiếp theo. Gói đạt Giói thiệu VC TCP/IP 13 đến độ dài chung của nó ờ lớp liên kết. Ở điểm này nó tạo dữ liệu phần tiêu đề (Vi phần cuối dữ liệu) của mỗi lớp và dữ liệu của các ứng dụng. Ncu độ dài của toàn bị gói vượt quá đơn vị giới hạn tối đa truyền(MTU) của lớp liên kết gói được phân n thành các đoạn. Việc phân mảnh này được làm bởi IP trên lớp mạng. Sau cùng các gó được gửi qua mạng tới đích. Ở đích tất cả các giai đoạn của chồng giao thức được thực hiện nhưng ngược với việc thực hiện ở nguồn. Bắt đầu ở lớp liên kết, lớp liên kết nhật gói, loại bỏ phần tiêu đề của nó và chuyển tải tin cùa nó cho lớp mạng. Quá trình nà' cũng được thực hiện trong lớp mạng cũng như trong lớp chuyển vận. Cuối cùng, ứnị dụng ở nút cuối nhận được dữ,liệu. 1.2 Giao thức In te rn e t (IP ) Giao thức chính cùa TCP/IP là giao thức IP. Giao thức 1P bao gồm các chức năng chính sau: - Định nghĩa cấu trúc các gói số liệu là đơn vị cơ sở của số liệu được trao đổ trên Internet; - Định nghĩa phương thức đánh địa chỉ IP; - Truyền số liệu giữa mức chuyển vận và mức truy nhập mạng; - Định tuyên đường đê chuyên tiêp các gói sô liệu trong mạng; - Thực hiện phân mảnh và hợp nhất các gói số liệu và nhúng / tách chúng trong các gói số liệu ở mức liên kết. , y ? f • 1.2.1 Địa chỉ IP DỊa chỉ gồm 4 byte (32bit), người ta chia địa chỉ IP thành 5 lớp địa chỉ khác nhau. Mỗ: lớp địa chỉ tương ứng với một kích thước mạng khác nhau và số lượng các trạm làrr vi ộc trong mạng đó. cấu trúc của các lớp địa chỉ IP được mô tả chi tiết trong hỉnh 1.7 7 bits Class A 0 Class B 1 24 bits netwofK part 0 host part 14 bits 16 bits network part host part 21 bits Class c 1 1 8 bits iietworK part 0 host part 28 bits Class D 1 1 1 0 multicast group ID 28 bits Class E 1 1 1 1 {reserved for future use) Hình 1.7 : Sự phân loại của các địa chỉ IP Giói thiệu về TCP/IP 14 Bốn bit đầu của địa chi cho ta biết cấu trúc lớp của địa chỉ đirợc sử dụng. Các bit còn lại được chia làm hai phần:[2] - Một phần dùng để định danh địa chỉ mạng (netid) - Một phần dùng để định danh địa chi các trạm làm việc trên mạng đó (hostid) Các địa chỉ thuộc lớp A được dành cho các mạng có sổ lượng lớn các trạm làm việc; trong khi các địa chỉ lớp c cho phép nối một số lượng lớn các mạng con, trong dó môi mạng con chỉ có một sô trạm làm việc (tôi đa là 256 trạm). Hồ trợ các chiến lược định tuyến mạng, người ta đưa ra khái niệm mặt nạ mạng (Network mask).1 Tương tự như địa chỉ IP, mặt nạ mạng gồm 4 byte. Mặt nạ mạng \ được sử dụng đê xác định vùng nào trên địa chỉ IP là phân địa chỉ mạng và vùng nào là dịa \ chi của các thiêt bị. ỉ Từ địa chỉ IP thực hiện>phép/ toán logic AND với mặt nạ mạng đê xác định địa chỉ phân mạng 1P và địa chỉ phân thiêt bị. 1.2.2 Cấu trúc gói số liệu IP IP là giao thức cung cấp dịch vụ truyền thống theo kiểu “ không liên kết’，hay t , còn gọi là dịch vụ Datagram. Phương thức không liên kêt cho phép cặp đôi tác không \ f \ r \ cân phải thiêt lập liên kêt trước khi truyên sô liệu và do vậy cũng không cân giải phóng liên kết khi không còn nhu cầu truyền sổ liệu. Phương thức kết nối “ không kết nối” cho phép thiết kế và thực hiện giao thức trao đổi số liệu đơn giản không có cơ chế phát hiện và khắc phục lỗi truyền thậm chí nó không đảm bảo việc gói số liệu cỏ đến được tới đích hay không. Nó cung cấp một dịch vụ trao đổi số liệu không đáng tin cậy. Các gói dữ liệu được gọi là các gói dữ liệu IP được định nghĩa là các datagram. Mồi datagram có phần tiêu đề chứa các thông tin cần thiết để chuyển số liệu [2], V length identifier TTL total length TOS F protocol fragment offset header checksum source IP address destination IP address options (if any) Hình 1.8 : Phần tiêu đề của một gói tin IP - V: chi phiên bản của IP được dùng (IP4 hay IP6) - length: chỉ độ dài của phân đầu, tính bằng các từ 32 bit. Nếu không có trường này độ dài mặc định là 5 từ. - 丁OS: cho biết các thông tin về loại dịch vụ và mức ưu tiên của gói IP. Tnrờng này gồm 8 bit. Giá trị mặc định bằng 0. Giới thiệu về TCP/IP 15 - total length: cho biết độ dài gói IP, gồm cà phần ticu đề, được tính bằng đơn vị byte. - identifier: từ định danh của gói phân mảnh. - F: dùng trong qúa trình phân mảnh và hợp nhất doạn của gói IP - frament offset: cho biết khoảng cách tương đối cùa gói IP với gói bị phân mảnh (tính theo 8 byte) - T I L: cho biết thời gian tối đa mà gói có thể tồn tại - protocol: chỉ loại sổ liệu giao, thức mức trên được nhúng trong phần số liệu của gói IP (giá trị 6 cho TCP và 17 cho UDP) - header checksum: là giá trị bù 1 của tổng các từ 16 bit trong phần tiêu đề của gói IP. Trường này kiêm tra xem các thông tin tiêu đê cùa gói có bị hỏng do bị lôi tru yên hay không. IP chi kiểm tra lỗi tiêu đề - source IP address: địa chi IP của hệ thống gửi - destination IP address: địa chì IP của hệ thống đích - options ( if any): chứa các thông tin tuỳ chọn như: Source routing, router recording, timestamping, security. 1.2.3 Phân mảnh và hợp nhất mảnh Kích thước cực đại lý thuyết của một gói dữ liệu IP là 65535 bytes (64 Kb). IP có thể được sử đụng bởi những mạng khác nhau với những khả năng khác nhau cho việc truyền cùa các khung. Độ dài cực đại của một khung do MTƯ đưa ra. Nếu độ dài của một gói vượt hơn MTU, IP phải chia ra từng mảnh (gói). Gói được chia ra từng phần vào trong các gói với một kích thước tương ứng tới MTU. Khi cần chuyển một gói số liệu IP có độ đài lớn hơn MTƯ của một mạng cụ thể, thì phải chia gói số liệu IP đó thành những gói IP nhỏ hơn, gọi chung là mảnh (fragment). Trong phần tiêu đề của gói số liệu IP có thông tin về phân mảnh và xác định các mảnh có quan hệ phụ thuộc để họp thành sau này. IP dùng cờ MF (3 bit thấp của trường F trong phần tiêu đề gói IP) và trường fragment offset của gói IP (đã bị phân mảnh) để định danh gói IP đó là một phân mảnh và vị trí cùa phân mảnh này trong gói IP gốc. Các gói cùng trong chuỗi phân mảnh đề có trường này giống nhau. Cờ MF bằng 1 nếu là gói các gói tin không phải là gói tin cuối của phân mảnh và bằng 0 nếu là gói cuối của phàn mảnh[2]. Quá trinh hợp nhất diễn ra ngược lại với quá trình phân mảnh. Khi IP nhận được một gói phân mành, nó giữ phân mảnh đó trong vùng đệm, cho đến khi nhận được hết các gói IP trong chuỗi phân mảnh có cùng trường định danh. Khi phân mảnh đầu tiên được nhận, IP khởi động một bộ đếm thời gian (giá trị ngầm định là 15 s) IP phải nhận hết các phân mảnh kể tiếp trước khi đồng hồ tắt. Nếu không, IP phải huỷ tất cả các phân mảnh trong hàng đợi hiện thời có cùng trường định danh. Khi nhận được hết các phân mảnh, IP thực hiện hợp nhất các gói phân mảnh thành gói IP gốc và sau đó xử lý Giói thiệu về TCP/IP 16 gói số liệu này như một gói số liệu IP binh thường. IP thường chỉ thực hiện hợp nhất các gói tại hệ thông đích nơi gói sô liệu được chuyên đên. r t t t 1.2.4 Đ ịnh tuyến IP Định tuyến IP dựa trcn nguyên tắc đánh dịa chỉ ỈP như sau: f r \ - Các trạm làm việc kêt nôi trong một mạng “ vật lý” phải có cùng phân địa chỉ mạng IP. Việc định tuyến IP đồng nghĩa với việc xác định đường tới mạng IP. * Mỗi kết nối mạng phải có một địa chỉ mức liên kết xác định, ứng với một địa chỉ mírc liên kêt có một địa chỉ IP và ngược lại. •r Việc định tuyến IP dựa trên bảng dịnh tuyến, được lưu trữ tại mồi trạm làm việc và thiêt bị định tuyên. Bảng định tuyên cho biêt các sô liệu sau: • , * • / t r - Đị a chỉ mạng đích - Đị a chỉ IP của thiết bị chuyển tiếp - Cờ cho biết, đối với mỗi địa chỉ mạng đích có thể đạt tới trực tiếp qua kết nối mạng vật lý hay phải qua thiết bị chuyển tiếp khác. 1.3 G iao thức gói dữ liệu thuê bao - UDP source port destination port length checksum Hình 1.9 : Phần tiêu đề của một gói UDP UDP là giao thức ở mức chuyển vận, ƯDP đơn giản hơn TCP và thường sử đụng trong các trường hợp không cần thiết cơ chế đáng tin cậy cúa TCP. UDP cũng là không hướng kết nối và có phần tiêu đề nhò hơn [2]. 、 ì t \ 1 、 Phân tiêu đê của ƯDP có , 4 trường: công nguôn, công đích, chiêu dài và í * checksum UDP. Trường công nguôn và công đích có chức năng tương tự như trong phần tiêu đề của TCP. Trường length chứa độ dài của mào đầu và dữ liệu UDP, trường checksum cho phép kiểm tra tính nguyên vẹn của gói, checksum của UDP là tuỳ chọn. UDP được dùng trong VoIP để mang lưu lượng thoại thực tế (các kênh mang). TCP không dùng bởi vì điều khiển luồng dữ liệu và truyền lại các gói âm thoại là không cần thiết. UDP sử dụng để mang tín hiệu âm thanh, nó tiếp tục truyền bất chấp có hay không khi tổn thất 5% hoặc 50% gói tin. Nêu TCP được sử dụng cho VoIP, trê sẽ xảy ra trong khi chờ báo nhận, tru yên lại và chất lượng thoại sẽ không dược chấp nhận. Với VoIP và các ứng dụng đòi hỏi thời gian thực khác, điều khiển trễ quan trọng hơn là để bảo đảm phân phổi tin cậy của mỗi -gói tin. TCP sử đụng thêm cho cài đặt cuộc gọi trong hầu hết các giao thức báo hiệu VoIP. 、 ¥ Giói thiệu về TCP/IP 17 1.4 Giao thức TCP TC P là giao thức lớp chuyển vận tầng thứ hai trong b ộ TC P / IP. TCP là giao th ứ c trao đổi số liệu cỏ kết nô i, đảm bảo tin cậy và chính xác giữa hai thực thê cuối tro n g mạng. TC P cung cấp m ột luồng dữ liệu liên tục giữa hai điểm cuối trên m ạng. Nó c u n g cấp dịch vụ song công tới các lớp ứng dụng có nghĩa ră n g dữ liệu có thê tru yên th e o cả hai hướng. o ffe re d w in d o w usable window 1 2 3 sent an d 4 5 6 i 7 I s e n t, n o t a c k n o w le d g e d a c k n o w le d g e d 8 9 10 11 m ay be m ay not sent be se n t ► Hình 1.9 : Trực quan hóa của dịch vụ hai cửa sổ trượt Dữ liệu được gửi vào trong luông và nó sẽ đên một đâu cuôi khác, byte nôi tiêp b y te ，theo đúng thứ tự. Tuy nhiên, IP không bảo đảm việc g iao các gói chuyến đến là điarợc sắp đúng thứ tự. Bởi vậy, TC P phải có cơ chế của chính m ình. Mồi gói TC P thêm nuột số nối tiếp cho p hép đoán nhận những gói bị m ất, n hữ ng gói nhận được sai thứ tự sẳip xếp hoặc nhận lặp lại gói đ ã nhận. T C P tách dữ liệu đ ư ợ c dự định gửi ra với kích th ư ớ c tốt nhất “các k húc” . Đ ơn vị thông tin này gọi là m ột đ oạn. M ỗi đoạn nhận được, có) sự ghi nhận được gửi tới người gửi. Đ iều này xác nhận s ự tiếp nhận của gói. N ếu g ô i không đến trong m ột khoảng thời gian nhất định người g ử i không nhận một sự ghi nhiận, người gửi gửi lại gói tin. N ếu những gói đến không đ ú n g thứ tự, thì chúng có thể đurợc ráp lại đúng thứ tự bởi vì mỗi gói có số nối tiếp trong m ỗi gói TCP. Kỹ thuật bảo đảim sự truyền đáng tin cậy của dữ liệu gọi là cửa sổ trượt. M ột đơn giản hóa phiên bàn đurợc minh họa trong hình 1.9. Tỉnh trạng cùa máy thu đư ợ c cho thấy ở trên hinlì chừ n h ậ t của cửa sổ, của người gửi ở bên dưới. N hững chữ số ở g iữ a đại diện dòng byte. Người gửi duy trì m ột bộ đệm cho dữ liệu đã được. N g ư ờ i nhận có m ột bộ độm chio dữ liệu nó nhận. Phần dữ liệu đã đọc sẽ bị xóa khỏi bộ đệm. Người nhận không quan tâm dữ liệu đến có đúng thứ tự hoặc không đúng thứ tự. Người nhận thông báo ch o người gửi vẫn còn có thể lưu giữ bao nhiêu dữ liệu. Điều này tránh sự tràn của bộ đ ệm của bên nhận, s ổ này được gọi là kích thước cửa sổ. T hủ tục của việc gửi kích thiước cửa sổ được gọi quảng cáo (a d ve rtisin g ) một cửa sổ. Trong ví dụ cùa hình 1.8 k íc h thước cửa sổ là sáu. T hờ i hạn trượt tham chiếu tới s ự chuyển động cùa cửa sổ trong dòng dữ liệu. Dòng byte có thể tưởng tượng như một hàng, s ố bytes nlìận được b ờ i bên thu tăng lên cử a sổ sẽ đi chuyển sang phải. C uối cù n g cửa sổ cũng di chuyển samg phải nếu bên thu đọc dữ liệu, thừa nhận nó và thông b áo m ộ t cửa sổ mới. G iớ i th iệu về T C P / I P 18 1.4.1 Phần tiêu đề của TCP Phàn tiêu đề của TC P chứa đựng các thông tin cần thiết để hoàn thành việc trao đổi sổ liệu cho nó. H ình 1.10 cho thấy phần tiêu đề của TC P. source port number destination port number sequence number acknowledgement number length reserved flags TCP checksum window size urgent pointer options (if any) H ình 1.10 : Phần tiêu đề (của) m ột gói TC P r t > • - source port num ber và destination port number: sô hiệu công TCP nguôn và sô hiệu cổng TCP đích. Hai sổ hiệu cổng này cùng với địa chỉ nguồn và địa chỉ đích của IP xác đ ịnh việc gửi và các ứ ng dụng nhận được. - sequence num bensố tuần tự phát, định danh byte đầu tiên của phần sổ liệu thuộc gói số liệu TCP trong dòng số liệu từ thực thể TCP gửi đén thực thể TCP nhận, s ố tuần tự p hát là khoảng cách tương đối của byte đầu tiên ph ần số liệu với phần tiêu đề của dòng byte, là số không dấu 32 bit, có giá trị từ 0 đến 2 丨 -l. - acknowledgem ent number: vị trí tương đối của byte cuối cùng đã nhận đúng bởi thực thể gửi gói ACK cộng 1. Giá trị của trường này còn được gọi là số tuần tự thu. Giá trị trư ờ n g n ày đ ú n g k h i b it có A C K = 1 - Flags: có 6 b it cờ : • URG = 1 thông báo giá trị trường Urgent Pointer đúng • ACK =1 thông báo giá trị trường Acknowledgemet đúng • PSH =1 thực thổ nhận phải chuyển số liệu này cho ứng dụng tức thời • RST =1 tái khởi tạo kết nối • SYN =1 đồng bộ trường sổ thứ tự, dùng để thiết lập kết nối TCP • FIN =1 thông báo thực thể gửi đã kết thúc gửi số liệu - window size: độ lớn cửa sổ, qui định tổng sổ byte số liệu thực thể nhận có thể nhận được (đồng nghĩa với độ lớn bộ đệm thu), tính bắt đầu từ giá trị trường sổ tuần tự nhận. - TCP checksum: byte kiểm tra, là giá trị bù 1 của tổng các 16 bit trong phần tiêu đề và phần số liệu TCP. - urgent pointer: vị trí tương đối của byte trong trường số liệu TCP cần được xử lý đầu tiên. - options (if any): tuỳ chọn G ió i th iệu về T C P /I P 19 1.4.2 T h iế t lậ p k ế t nối Giao thức cho thiết lập một kết nối TCP được thực hiện trên cơ sở phương thức bất tay 3 bước. Nó được miêu tả trong hình 1.12 và giải thích ở bên dưới. Thiết lập kết nổi là một quá trình ba giai đoạn : TCP-A TC： P_B Syn ，Seq=x Syii, Seq=y A C K (y+l) Hình 1.11: Thiết lập kết nối TC P-A TCP_B Fin, Seq=x ACK(x+l) Fin, Seq^y _____ _____ A C K (y+l) Hình 1.12 : Ket thúc kết nối 1. Tiến trình trạm muốn thiết lập một kết nối TCP bằng cách gửi một gói TCP với cờ SYN = 1，gọi tắt là gói điều khiển SYN, và giá trị khởi tạo số tuần tự ISN cùa mình. Giá trị ISN là một sổ 4 bytẹ không dấu và dược tăng mỗi khi có một kết nối được yêu cầu. Trong gói điều khiển SYN này còn chứa số hiệu cổng TCP cùa phần mêm dịch vụ mà tiên trình trạm làm việc muôn kêt nôi. 2. Sau khi nhận được gói điêu khiên SYN và ở trạng thái săn sàng châp nhận kêt nổi, thực thể TCP của phần mềm dịch vụ gửi lại gói SYN với giá trị ISN của mình, và đặt bit cờ ACK=1 để thông báo rằng thực thể dịch vụ đã sẵn sàng nhận được giá trị ISN của tiến trình trạm. 3. Tiến trình phúc đáp gỏi SYN của thực thể dịch vụ bằng một thông báo trả lời ACK cuối cùng, khẳng định dã nhận được giá trị ISN của thực thế phàn mềm dịch vụ. Bang cách này, các thực thể TCP trao đổi một cách tin cậy các giá trị iSN của nhau và sẵn sàng trao đổi số liệu. G ió i tliiệu về T C P / I P