VNPT | ứng dụng công nghệ intelligent agent trong việc điều phối hoạt động của mạng riêng ảo
You are here >   News > Khoa_Hoc_Cong_Nghe > ViewNews
Register   |  Login
 
ứng dụng công nghệ intelligent agent trong việc điều phối hoạt động của mạng riêng ảo
Cập nhật ngày: 01/01/1900 Facebook Youtube Youtube

Tóm tắt Hệ thống mạng riêng ảo VPN(Virtual Private Network) được sử dụng để kết nối an toàn các mạng con tại các chi nhánh thông qua một mạng truyền thông trung gian ở giữa, thường là mạng Internet, thành một hệ thống mạng thống nhất, gọi là mạng Extranet. Hệ thống mạng riêng ảo xây dựng một phương thức kết nối an toàn các mạng con thông qua hoạt động của các VPN box. Mỗi một mạng con sẽ kết nối với Internet thông qua VPN box này. VPN box có nhiệm vụ bọc những gói tin trong mạng, mã hóa và gởi đến VPN box mạng lân cận. VPN box ở mạng lân cận có nhiệm vụ giải mã, trích chọn và đưa gói tin đến máy nhận tương ứng. Tuy nhiên, công nghệ VPN hiện nay vẫn còn một số khuyết điểm chưa khắc phục được, như thông tin định tuyến còn quá cứng nhắc, việc cấu hình mạng riêng ảo không mang tính linh động để đáp ứng kịp thời việc thay đổi cấu hình mạng thường xuyên xảy ra, phương thức mã hóa áp dụng ở VPN Box còn mang tính chất cố định, kém linh động, khó khăn khi chuyển đổi khóa. Để giải quyết những vấn đề nói trên, báo cáo này xin đưa ra giải pháp là sử dụng Intelligent Agent nhằm điều phối hoạt động giữa những mạng riêng ảo. Các Intelligent Agent chuyên về tình trạng mạng sẽ di chuyển giữa các VPN box, trao đổi thông tin về các mạng con, nhờ đó mà các VPN box có thể nắm bắt kịp thời tình trạng mạng của các mạng con. Các Intelligent Agent phục vụ cho việc trao đổi khóa mã hoá sẽ trao đổi thông tin về khoá mã hóa, thời gian áp dụng khoá mã hóa. Khi cấu hình của các mạng con có sự thay đổi, hay khi nhà quản trị cần thay đổi khóa mã hóa, phương thức mã hóa …, những sự thay đổi này sẽ được cập nhật một cách tự động trên mọi VPN Box trong hệ thống mạng riêng ảo nhờ vào hoạt động của các Intelligent Agent được tích hợp trong hệ thống các VPN Box.1. Giới thiệu Hệ thống mạng riêng ảo VPN(Virtual Private Network) được sử dụng để kết nối an toàn các mạng con tại các chi nhánh thông qua một mạng truyền thông trung gian ở giữa, thường là mạng Internet, thành một hệ thống mạng thống nhất, gọi là mạng Extranet. Hệ thống mạng riêng ảo xây dựng một phương thức kết nối an toàn các mạng con thông qua hoạt động của các VPN box. Các mục sau sẽ giới thiệu về mô hình mạng riêng ảo hiện nay và phương thức hoạt động của nó.1.1. Mô hình mạng riêng ảo Mỗi mạng tại các chi nhánh nối với Internet thông qua VPN box, đóng vai trò như Dual-Home Host (Xem hình 1) . Địa chỉ IP của mạng chi nhánh là địa chỉ ảo (không có thật đối với các máy trên Internet). Các máy thuộc mạng chi nhánh chỉ cần khai báo gateway là địa chỉ của interface bên trong của VPN box. Khi đó, mọi truy cập của các máy thuộc mạng bên trong đến Internet hay đến các chi nhánh khác đều thông qua VPN box và các máy này được đáp ứng nhu cầu dữ liệu đảm bảo an toàn thông qua hoạt động của VPN box.

Hình 1. Mô hình mạng riêng ảo hiện nay

VPN box có thể được thay thế bởi một máy tính có 2 card mạng, và có những yêu cầu chức năng như sau: + VPN box có 2 interface, interface bên ngoài nối với Internet, dùng địa chỉ IP thật trên Internet, interface còn lại nối với mạng chi nhánh, dùng chuẩn TCP/IP. + Không cài đặt các dịch vụ Telnet, Remote Access trên VPN Box vì vấn đề đảm bảo an toàn cho bản thân VPN Box. + Cấm các máy ở mạng bên trong truy xuất trực tiếp Internet, cấm mọi gói tin từ Internet đi đến địa chỉ của máy ở mạng nội bộ thông qua cơ chế Packet Filtering. + VPN Box phân loại được các yêu cầu dữ liệu từ các máy bên trong mạng nội bộ, cũng như những đòi hỏi dữ liệu từ Internet hay từ các mạng ở chi nhánh khác. + VPN Box tạo đường ống ngầm (tunnel) với các VPN Box khác, đường ống này sẽ phục vụ cho việc trao đổi dữ liệu giữa hai máy nằm tại hai mạng chi nhánh khác nhau. Thông tin trao đỗi giữa các máy này sẽ được mã hoá và gởi đến VPN Box khác theo các đường ống ngầm đã được thiết lập. Khi VPN Box bên kia nhận dữ liệu từ VPN Box khác, nó có nhiệm vụ giải mã và chuyển gói tin đến máy nhận tương ứng. Việc tạo đường ống ngầm do bộ IP Tunnelling tại các VPN Box đảm nhận.1.2. Hoạt động của bộ IP Tunnelling Bộ tunnelling sẽ bao gồm hai module chính là module Encryption & Encapsulation và module Decapsulation & Decryption: + Module Encryption & Encapsulation: sẽ làm nhiệm vụ mã hóa toàn bộ các IP packet gởi đến cho nó (kể cả phần IP header), rồi bọc thêm vào đó một IP header mới thuộc nghi thức IPIP, đây là một nghi thức thuộc họ IP dùng để bọc các gói tin IP khác, gói tin mới này sẽ có địa chỉ nguồn chính là địa chỉ của VPN Box hiện hành, còn địa chỉ IP đích chính là địa chỉ IP của VPN Box ở mạng bên kia nơi mà gói tin này cần chuyển đến, như minh họa trong hình sau:

Hình 2. Bọc gói tin IP

+ Module Decapsulation & Decryption: sẽ làm nhiệm vụ gỡ bỏ IP header mà VPN Box bên kia đã thêm vào, sau đó giải mã toàn bộ phần data còn lại sẽ thu được đầy đủ gói tin IP ban đầu, như hình minh họa sau:

Hình 3. Tách gói tin IP

Các gói tin sau khi qua khỏi bộ tunnel chúng sẽ được chuyển xuống các tầng bên dưới để tiếp tục truyền đến đích.1.3. Những hạn chế của mô hình mạng riêng ảo hiện nay Với kỹ thuật IP Tunnelling và mã hóa, các mạng Intranet được kết nối với nhau một cách an toàn thành một mạng Extranet thống nhất. Dữ liệu được trao đổi với nhau qua các đường ống được thiết lập giữa các VPN box. Các dữ liệu này đã được mã hóa, cho nên dù chẳng may bị chặn, bị đọc lén khi truyền trên môi trường Internet thì kẻ ngăn chặn vẫn không thể biết được nội dung của packet là gì và thậm chí cũng không biết được địa chỉ IP ban đầu mà các máy trong mạng Extranet dùng để trao đổi dữ liệu với nhau do toàn bộ IP header đó đã được mã hóa. Tuy vậy vẫn còn một số vấn đề giới hạn của VPN box hiện nay: - VPN box hiện nay còn hạn chế, bởi khi có một gói tin được gởi thông qua mạng Internet giữa 2 mạng Intranet, thì gói tin này được gởi đến mọi đường ống (tunnel) trong mạng. Điều này khiến cho lưu lượng thông tin trao đổi gia tăng một cách đáng kể. - Khi cấu hình mạng con thay đổi, các quản trị mạng phải cập nhật, cấu hình các VPN box theo phương pháp thủ công, chưa có những công cụ tự động cập nhật lại tình trạng của các mạng con. - Khi cấu hình của các intranet phức tạp, lấy ví dụ như bao gồm nhiều subnet, nhiều mạng bên trong, thì thông tin của intranet bên trong không được lưu trữ một cách trọn vẹn đầy đủ. - VPN box hiện nay không hỗ trợ đối với những đường ống ngầm(tunnel) được thiết lập với cơ chế mã hóa có khóa thay đổi theo thời gian. Phương pháp mã hóa dữ liệu trong những đường ống luôn được định trước, cả về phương pháp mã hóa, khóa mã dữ liệu … Khi muốn thay đổi khóa mã hóa, nhà quản trị mạng phải thực hiện việc thay đổi khóa một cách thủ công trên tất cả các VPN Box trong mạng riêng ảo.2. Cải tiến hoạt động của mạng riêng ảo bằng kỹ thuật Intelligent agent Để cải tiến hoạt động của mạng riêng ảo, khắc phục những hạn chế hiện nay của các VPN Box, bài viết này xin đưa ra một giải pháp là áp dụng kỹ thuật Intelligent Agent để tăng cường việc điều phối hoạt động giữa các VPN Box như sau: - Tại mỗi VPN Box, ngoài chương trình thực hiện kỹ thuật IP Tunnelling, còn có môi trường cho phép các Intelligent Agent hoạt động. Môi trường này cho phép các agent có thể hoạt động trên VPN Box nội tại, cũng như cho phép các agent có thể di chuyển giữa các VPN Box trong hệ thống mạng riêng ảo. - Giữa nội bộ của các mạng Intranet, sẽ luôn có một agent chuyên xem xét những sự thay đổi về tình trạng của mạng Intranet và báo về VPN box tương ứng. Agent này có thể hoạt động dựa trên nghi thức SNMP và các nghi thức cần thiết khác hiện có trong việc quản lý tình trạng của mạng. - Do thông tin về tình trạng của tất cả các mạng con trong hệ thống mạng riêng ảo phải mang tính nhất quán, nên khi có sự thay đổi tình trạng của một mạng con thì cần phải cập nhật một cách kịp thời tại mọi VPN Box. Hệ thống các Intelligent Agent tích hợp trong hệ thống mạng riêng ảo đảm bảo giữa các VPN box luôn có các agent di chuyển, các agent này sẽ xem xét thông tin về tình trạng mạng được lưu trữ trên các VPN box, khi có sự thay đổi sẽ cập nhật lại thông tin này trên tất cả các VPN box một cách tự động, không cần đến sự can thiệp của các quản trị mạng như mô hình trước đây. - Để phục vụ cho nhu cầu thiết lập các đường ống ngầm với cơ chế mã hóa có khóa thay đổi theo thời gian, các agent phục vụ cho vấn đề mã hóa sẽ di chuyển giữa các VPN box, trao đổi các khóa, các phương pháp mã hóa giữa các VPN box, đồng bộ hình thức mã hóa, cung cấp khả năng thiết lập những đường ống với cơ chế mã hóa có khóa biến động theo thời gian.3. Kiến trúc của mạng riêng ảo nâng cao3.1 Mô hình cải tiến của mạng riêng ảo

Hình 4. Mô hình cải tiến mạng riêng ảo

Mô hình cải tiến của mạng riêng ảo dựa trên mô hình đã được mô tả ở phần trước, mỗi mạng con sẽ kết nối với Internet thông qua thiết bị VPN Box. Nhưng trong mô hình mô hình cải tiến của mạng riêng ảo, các VPN box được tích hợp thêm môi trường cho các Intelligent Agent hoạt động. Ngoài các module thực hiện kỹ thuật IP Tunnelling, còn có các Intelligent Agent được xây dựng để điều phối hoạt động của mạng riêng ảo, và các module khác tạo nên môi trường hoạt động cho các Intelligent Agent Tại từng mạng Intranet con, VPN Box tương ứng chứa đựng một Agent có nhiệm vụ thăm dò tình trạng của mạng Intranet. Bên cạnh agent thăm dò tình trạng mạng, hoạt động trên từng mạng con riêng biệt, thì giữa các VPN box, sẽ có 2 loại agent sau: agent trao đổi thông tin tình trạng mạng và agent phục vụ mã hoá. Agent trao đổi thông tin tình trạng mạng sẽ di chuyển giữa các VPN Box, thông báo tình trạng của từng mạng con cho tất cả các VPN Box được biết. Agent trao đổi thông tin tình trạng mạng sẽ giao tiếp với agent thăm dò tình trạng mạng, đảm bảo khi cấu hình tại một mạng con thay đổi, thì các VPN Box đều được cập nhật kịp thời, đảm bảo hoạt động của mạng riêng ảo. Khi nhà quản trị có nhu cầu thay đổi khóa mã hóa, nhà quản trị sẽ thay đổi khóa tại một trong các VPN Box của mạng riêng ảo. Agent phục vụ mã hóa sau đó sẽ truyền khóa đã thay đổi đến tất cả các VPN Box, đảm bảo hoạt động của hệ thống mạng riêng ảo được đồng nhất.3.2 Cấu trúc của VPN Box tích hợp môi trường Intelligent Agent Hoạt động của VPN box tích hợp Intelligent Agent cũng tương tự như hoạt động của VPN box thông thường như đã giới thiệu ở phần trước. Tuy nhiên ở đây có thêm một số khác biệt trong hoạt động của bộ tìm đường, cũng như có thêm chức năng hoạt động của các Intelligent Agent.3.2.1 Một số cải tiến trong hoạt động của bộ tìm đường - Các gói tin đến từ interface bên trong của VPN Box (interface nối với mạng nội bộ bên trong): Khi nhận được các gói tin đến từ interface bên trong, căn cứ vào thông tin chi tiết của các mạng Intranet, vào địa chỉ của gói tin này bộ tìm đường sẽ phân loại gói tin này thành các loại sau:+ Gói tin đến máy nội bộ cùng chi nhánh Bộ tìm đường chỉ cần chuyển tiếp gói tin đến mạng bên trong

+ Gói tin đến một máy trên Internet Bộ tìm đường chỉ cần chuyển tiếp gói tin đến bộ NAT (Do báo cáo tập trung vào hoạt động của mạng riêng ảo, thông qua module IP Tunnelling nên vấn đề này không được bàn đến trong báo cáo).+ Gói tin đến một máy thuộc mạng nội bộ ở chi nhánh khác Theo hoạt động của VPN box thông thường, thì gói tin này sẽ được chuyển đến bộ Tunnel và chuyển đi theo mọi tunnel đến mọi VPN box khác. Nhưng trong VPN box có tích hợp Intelligent Agent, gói tin này sẽ được phân loại một cách cụ thể hơn, căn cứ vào địa chỉ của gói tin và thông tin chi tiết về các mạng Intranet tại các chi nhánh, gói tin sẽ được phân bố vào tunnel thích hợp. - Các gói tin đến từ interface bên ngoài của VPN Box (interface nối với mạng nội bộ bên trong): Việc phân loại gói tin đến từ interface bên ngoài của VPN box sẽ phức tạp hơn. Căn cứ vào địa chỉ nguồn và một số tham số khác của gói tin, gói tin sẽ được phân loại thành các loại sau:+ Gói tin đến từ máy khác trên Internet : Bộ tìm đường sẽ chuyển cho bộ NAT xử lý:+ Gói tin đến từ VPN box khác Căn cứ vào một số tham số của gói tin, gói tin đến từ VPN box khác sẽ thuộc một trong hai loại sau - Gói tin thuộc hoạt động của bộ IP Tunnelling (thuộc một tunnel nào đó) : gói tin này sẽ được chuyển cho bộ Tunnel để giải mã và truyền trên mạng Intranet. - Gói tin thuộc hoạt động của các Intelligent Agent: gói tin này sẽ được chuyển cho các Intelligent Agent module.3.2.2. Hoạt động của các Intelligent Agent module

Hình 6. Các agent trong VPN Box cải tiến

+ Agent nắm bắt tình trạng mạng Agent này hoạt động dựa trên nghi thức SNMP, có nhiệm vụ thăm dò tình trạng của mạng Intranet. Agent này di chuyển trong mạng Intranet, báo về VPN box cấu trúc của mạng Intranet, báo cáo các máy đang hoạt động, các máy tạm tắt, các máy vừa vào mạng … Thông tin về Intranet sẽ được tổ chức lưu trên VPN box, phục vụ cho hoạt động của VPN box.+ Agent trao đổi thông tin: Agent này di chuyển giữa các VPN box, thu nhập thông tin của mạng Intranet bên trong VPN box, báo về cho VPN box chủ tại của nó biết. Nhờ vậy, các thông tin về Intranet bên trong các VPN box luôn được cập nhật một cách tự động, đảm bảo hoạt động của mạng Extranet luôn chính xác, đúng đắn. Do thông tin về mọi mạng Intranet luôn được cập nhật trên các VPN box, nên các gói tin từ mạng Intranet này đến mạng Intranet khác sẽ được chuyển theo đúng đường ống tương ứng, khác với hoạt động của mạng VPN hiện nay là chuyển theo mọi đường ống. Điều này khiến cho lưu lượng thông tin trao đổi trên mạng Extranet giảm đi một cách rõ rệt.+ Agent phục vụ mã hoá Agent này được cung cấp một số phương pháp mã hóa, cùng với một số khoá mã hóa tương ứng tuỳ phương pháp mã hóa. Khi có một yêu cầu tạo một tunnel có khóa mã hóa thay đổi theo thời gian, agent này sẽ di chuyển đến VPN box còn lại của tunnel để đồng bộ phương pháp mã hóa, cũng như khóa mã hóa rồi mới bắt đầu truyền dữ liệu qua tunnel. Khi có nhu cầu thay đổi khoá, agent này sẽ liên lạc với agent cùng loại ở đầu tunnel kia để thông báo khóa sẽ được thay đổi.4. Kết luận và hướng mở rộng Việc áp dụng kỹ thuật Intelligent Agent vào việc điều phối mạng riêng ảo giúp giảm thiểu các thao tác của nhà quản trị mạng trong việc quản lý hoạt động của mạng riêng ảo. Việc sử dụng các agent để thăm dò sự thay đổi của các mạng con, cũng như để trao đổi thông tin về cấu hình mạng, phương thức mã hóa giữa các VPN Box, làm cho hệ thống mạng riêng ảo có thể tự động biến đổi cơ chế hoạt động của nó thích ứng với sự thay đổi cấu hình tại các mạng con. Trong bài báo này, tác giả chỉ giới thiệu sơ lược vai trò và chức năng của hệ thống mạng riêng ảo có tích hợp kỹ thuật Intelligent Agent mà tác giả đang xây dựng. Một số khía cạnh kỹ thuật như việc xây dựng môi trường hoạt động của Intelligent Agent, xây dựng module IP Tunnelling … không được đề cập trong bài báo này. Trong thời gian tới, tác giả sẽ hoàn thiện việc cài đặt mô hình mạng riêng ảo tích hợp công nghệ Intelligent Agent với các máy tính đóng vai trò VPN Box, sau đó nghiên cứu việc thu gọn hệ thống làm cơ sở ra đời thiết bị phần cứng VPN Box với các tính năng được nâng cao.Tài liệu tham khảo [1] P. Faratin, N. R. Jennings, P. Buckle, and C. Sierra (2000) `Automated negotiation for provisioning virtual private networks using FIPA-compliant agents` Proc. 5th Int. Conf. on the Practical Application of Intelligent Agents and Multi- Agent Systems (PAAM-2000), Manchester, UK, 185-202. [2] Genesereth, M.R and Ketchpel, S.P. (1998) Software Agents, Communications of the ACM. 31(7), 48-53 [3] Shehory O., Sycara K. , Chalasani P. and Jha S. (1998) Increasing Resource Utilization and Task Performance by Agent Cloning, Intelligent Agents V, Springer-Verlag. [4] Intelligent Software Agents on the Internet. Tilburg University, Tilburg, The Netherlands, July 2001. [5] Michael Wooldridge, Nicholas R. Jennings, Intelligent Agents: Theory and Practice, Queen Mary & Westfield College. [6] Nicholas R.Jennings & Michael Wooldridge, Applying Agent Technology, Queen Mary and Westeld College. [7] Banny B. Lange & Mitsuru Oshima, Programming and Deploying Java Mobile Agents with Aglets, University of Massachusetts. [8] Lê Đình Duy, Nghiên cứu và xây dựng một số ứng dụng trên Mobile Agent, Luận văn Thạc sỹ 2000, Trường Đại học Khoa học Tự nhiên TP.HCM [9] Phan Thanh Tuấn & Vũ Quốc Thái , Xây dựng hệ thống đảm bảo an toàn cho mạng Extramet, Luận văn đại học 1998, Trường Đại học Khoa học Tự nhiên TP.HCM

Ý kiến của bạn Gửi cho bạn bè In bài này Trở lại