Xem mẫu
- 1
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP. HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
------------------
BÁO CÁO ĐỀ TÀI IP SEC
GVHD: ThS V n Thi n o ng
SVTH: guy n Tr n uy ảo(1091021011)
Th Thu Thủy(1091021183)
u nh Th g h nh(1091021071)
guy n ng Tri u(1091021206)
Tr n inh T n(1091021160)
guy n Tu n Huy(1091021066)
V : Ths V n Thi n o ng ti S
- 2
Mục lục
CHƢƠNG 1: GIỚI THIỆU .................................................. 3
U ẦU SỪ DỤNG IPSEC HIỆN NAY: ................... 3
I.
ỆM: ................................................................... 4
II.
III VAI TRÒ CỦA IPSEC: ................................................... 5
1. Ƣu i m:........................................................................... 6
2 huyết i m: .................................................................... 6
V AO T ỨC TƢƠ ƢƠNG: ....................... 7
1 i m giống nhau giữa IPSec và SSL:........................... 7
2 i m khác nhau giữa IPSec và SSL: ............................. 7
V Ê ẾT BẢO MẬT: ................................................ 8
CHƢƠNG 2: CHI TIẾT ..................................................... 10
I. Ô Ì ẾN TRÚC: .............................................. 10
1. Tồng quan: ..................................................................... 10
Hình kiến trúc IPSec ........................................................ 10
2 á d ch vụ của IPSec:.............................................. 12
1. á ki u sử dụng: .......................................................... 12
III ............. AO T ỨC XÁC THỰC AH (Authentication
Header) ............................................................................... 14
1. iới thi u: ...................................................................... 14
2. u trúc gói AH:............................................................ 15
IV AO T ỨC ENCAPSULATING SECURITY
PAYLOAD (ESP) .............................................................. 23
1. iới thi u: ...................................................................... 23
2. C u trúc gói tin ESP: ..................................................... 23
CHƯƠNG K T UẬN ............................................. 48
V : Ths V n Thi n o ng ti S
- 3
CHƯƠNG 1: GIỚI THIỆU
I. NHU CẦU SỪ DỤNG IPSEC HIỆN NAY:
i o thứ T / óng một v i trò r t qu n tr ng trong á h thống hi n n y V
nguy n tắ , ó nhi u t y h n khá nh u v gi o thứ tri n kh i á h thống
mạng nhƣ T / , T X/S X, et U , Apple t lk,… Tuy nhi n T / l sự lự
h n g n nhƣ bắt buộ do gi o thứ n y ƣợ sử dụng l m gi o thứ n n tảng ủ
mạng nternet
V o thời i m thiết kế gi o thứ n y, v n bảo mật thông tin hƣ thật sự ƣợ
qu n tâm, do ó, á gi o thứ trong bộ T / h u nhƣ không ƣợ tr ng b b t ứ
gi o thứ n o u trú gói dữ li u ( , T ,U v ả á gi o thứ ứng dụng)
ƣợ mô tả ông kh i, bắt ƣợ gói tr n mạng, i ũng ó th phân tí h gói
ph n dữ li u hứ b n trong, ó l hƣ k hi n n y, á ông ụ bắt v phân tí h gói
ƣợ xây dựng với tính n ng mạnh v phát h nh rộng rãi Vi bổ sung á ơ hế
bảo mật v o mô hình T / , bắt u từ gi o thứ l một nhu u p bá h IP
Se urity ( Se ) l một gi o thứ ƣợ huẩn hoá bởi TF từ n m 1998 nhằm mụ
í h nâng pá ơ hế mã hoá v xá thự thông tin ho huỗi thông tin truy n i
tr n mạng bằng gi o thứ y nói á h khá , Se l sự tập hợp ủ á huẩn
mở ƣợ thiết lập ảm bảo sự ẩn mật dữ li u, ảm bảo tính to n vẹn dữ li u v
hứng thự dữ li u giữ á thiết b mạng Se ung p một ơ u bảo mật ở t ng
3 ( etwork l yer) ủ mô hình OS
Se ƣợ thiết kế nhƣ ph n mở rộng ủ gi o thứ , ƣợ thự hi n thống
nh t trong ả h i phi n bản v4 v v6 ối với v4, vi áp dụng Se l một
tu h n, nhƣng ối với v6, gi o thứ bảo mật n y ƣợ tri n kh i bắt buộ .
V : Ths V n Thi n o ng ti S
- 4
II. KHÁI NIỆM:
IPSec (Internet Protocol Security) là một giao thức ƣợc IETF phát tri n.
IPSe ƣợc nh nghĩ là một giao thức trong t ng mạng cung c p các d h vụ
bảo mật, nhận thực, toàn vẹn dữ li u và i u khi n truy cập. Nó là một tập hợp
các tiêu chuẩn mở l m vi cùng nhau giữa các ph n thiết b
Một cách chung nh t, IPSec cho phép một ƣờng ng m bảo mật thiết lập
giữa 2 mạng riêng và nhận thực hai u củ ƣờng ng m này. Các thiết b giữa
hai u ƣờng ng m có th là một cặp host, hoặc một cặp cổng bảo mật (có th
là router, firewall, bộ tập trung VPN) hoặc một cặp thiết b gồm một host và một
cổng bảo mật ƣờng ng m óng vai trò là một kênh truy n bảo mật giữa hai u
và các gói dữ li u yêu c u an to n ƣợc truy n trên ó. IPSec cũng thực hi n
óng gói dữ li u các thông tin thiết lập, duy trì và hủy bỏ kênh truy n khi
không dùng ến nữa. Các gói tin truy n trong ƣờng ng m có khuôn dạng giống
nhƣ các gói tin bình thƣờng khác và không làm thay ổi cá thiết b , kiến trúc
cũng nhƣ những ứng dụng hi n có trên mạng trung gian, qua ó cho phép giảm
áng k chi phí tri n khai và quản lý.
IPSec có hai cơ chế cơ bản ảm bảo an toàn dữ li u ó là AH
(Authentication Header) và ESP (Encapsulating Security Payload), trong ó IPSec
phải hỗ trợ ESP và có th hỗ trợ AH:
+ AH cho phép xác thực nguồn gố dữ li u, ki m tra tính toàn vẹn dữ li u
và d h vụ tùy ch n chống phát lại củ các gói IP truy n giữa hai h thống AH
không cung c p
tính bảo mật, i u này có nghĩ là nó gửi i thông tin dƣới dạng bản rõ.
+ ESP là một giao thức cung c p tính an toàn củ các gói tin ƣợc truy n
bao gồm: ật mã dữ li u, xác thực nguồn gố dữ li u, ki m tra tính toàn vẹn phi
kết nối củ dữ li u ESP ảm bảo tính bí mật củ thông tin thông qua vi c mật mã
gói tin IP. T t cả lƣu lƣơng ESP u ƣợc mật mã giữa hai h thống Với ặc
i m này thì xu hƣớng sẽ sử dụng ES nhi u hơn AH t ng tính an toàn cho dữ
li u.
+ Cả AH và ESP là các phƣơng ti n cho i u khi n truy nhập, dựa vào sự
phân phối củ các khóa mật mã và quản lý các luồng giao thông có liên quan ến
những giao thức an toàn này.
V : Ths V n Thi n o ng ti S
- 5
Những giao thức này có th ƣợc áp dụng một mình hay kết hợp với nhau
cung c p tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhƣng
cách chúng cung c p các d h vụ là khác nhau. ối với cả hai giao thức AH và
nh các thuật toán an toàn cụ th ƣợc sử dụng, mà thay
ESP này, IPSec không
vào ó là một khung chuẩn sử dụng các thuật toán theo tiêu chuẩn công
nghi p. IPSec sử dụng các thuật toán: Mã nhận thực bản tin trên cơ sở b m
(HMAC), thuật toán MD5 (Message Digest 5), thuật toán SHA-1 thực hi n
chức n ng toàn vẹn bản tin; Thuật toán DES, 3DES mật mã dữ li u; Thuật
toán khóa chia sẻ trƣớc, RSA chữ ký số và RSA mật mã giá tr ngẫu nhiên
nhận thực các bên. Ngoài ra các chuẩn còn nh nghĩa vi sử dụng
(Nonces)
cá thuật toán khác nhƣ IDEA, Blowfish và RC4.IPSec có th sử dụng giao thức
xác thực hai phía và làm giao thức thƣơng lƣợng
IKE (Internet Key Exchange)
các chính sách bảo mật và nhận thực thông qua vi c xá nh thuật toán ƣợc
thiết lập kênh truy n, trao ổi khóa cho mỗi phiên kết nối, dùng trong
dùng
mỗi phiên truy cập. Mạng dùng IPSec bảo mật các dòng dữ li u có th tự ộng
ki m tra tính xác thực của thiết b bằng gi y chứng nhận số của hai ngƣời dùng
trao ổi thông tin qua lại Vi c thƣơng lƣợng này cuối cùng dẫn ến thiết lập kết
hợp an ninh (SAs) giữa các cặp bảo mật, kết hợp an ninh này có tính ch t hai
chi u trực tiếp Thông tin kết hợp an ninh ƣợc lƣu trong cơ sử dữ li u liên kế an
ninh, và mỗi SA ƣợc n nh một số tham số an ninh trong bảng mụ lụ sao cho
khi kết hợp một chỉ ích với giao thức an ninh (ESP hoặc AH) thì có duy nh t
một.
III VAI TRÒ CỦA IPSEC:
-Cho phép xác thự h i hi u,trƣớ v trong quá trình truy n tải dữ li u
- ã hó ƣờng truy n giữ 2 máy khi ƣợ gửi qu 1 mạng
- ảo v gói dữ li u v phòng ngự á uộ t n ông mạng không b o mật
ov á lƣu lƣợng bằng vi sử dụng mã hó v ánh d u dữ li u
-
- hính sá h S ho phép nh nghĩ r á loại lƣu lƣợng m Se ki m tr v
á lƣu lƣợng ó sẽ ƣợ bảo mật v mã hó nhƣ thế n o?
V : Ths V n Thi n o ng ti S
- 6
ƯU ĐIỂM VÀ KHUY T ĐIỂM CỦA IPSEC :
IV
1. Ưu điểm:
Se ƣợ tri n kh i tr n bứ tƣờng lử hoặ bộ nh tuyến ủ một mạng
-Khi
ri ng thì tính n ng n to n ủ Se ó th áp dụng ho to n bộ v o r mạng ri ng
óm á th nh ph n khá không n phải xử lý them á ông vi liên qu n tới
bảo mật
- Se ƣợ thự hi n b n dƣới lớp T vU , ồng thời nó hoạt ộng trong
suốt ối với á lớp n y o vậy không n phải th y ổi ph n m m h y u hình lại
á d h vụ khi Se ƣợ tri n kh i
- Se ó th ƣợ u hình hoạt ộng một á h trong suốt ối với á ứng
dụng u uối, i u n y giúp he d u những hi tiết u hình phứ tạp m ngƣới dung
phải thự hi n khi kết nối ến mạng nội bộ từ x thông qu internet.
2. Khuyết điểm:
- T t ả á gói ƣợ xử lý theo Se sẽ b t ng kí h thƣớ do phải th m v o các
ti u khá nh u, v i u n y l m ho thông lƣợng hi u dụng ủ mạng giảm xuống
Vn n y ó th ƣợ khắ phụ bằng á h nén dữ li u trƣớ khi mã hó , song á
kĩ thuật nhƣ vậy vẫn òn ng nghi n ứu v hƣ ƣợ huẩn hó
Se ƣợ thiết kế hỉ hỗ trợ bảo mật ho lƣu lƣợng , không hỗ trợ á
-
dạng lƣu lƣợng khá
- Vi tính toán nhi u giải thuật phứ tạp trong Se vẫn òn l một v n khó
ối với á trạm l m vi v máy n ng lự yếu
- Vi phân phối á ph n ứng v ph m m m mật mã vẫn òn b hạn hế ối với
hính phủ một số quố gi
V : Ths V n Thi n o ng ti S
- 7
V CÁC GIAO THỨC TƯƠNG ĐƯƠNG:
Se ung p tính n ng mã hoá v xá thự mạnh ho lƣu lƣợng v ũng
ung p tính n ng tr o ổi v l m tƣơi khoá dự tr n hứng hỉ nhờ sử dụng
i ến kết luận một á h thận tr ng, t phải xu t rằng những tính n ng n y l
n thiết giống nhƣ á tính n ng m SS v T S ung p Trong ph n n y húng t
lƣu ý ến sự giống nh u v khá nh u ơ bản giữ Se v SS v giải thí h những
phạm vi n o sử dụng ả h i gi o thứ
1. Điểm giống nhau giữa IPSec và SSL:
Se v SS ung p xá thự lient v Server
-
Se v SS ung p tính n ng ảm bảo n to n v xá thự ối với dữ li u, thậm
-
hí tr n á mứ khá nh u ủ hồng gi o thứ
Se v SS ó th d ng á thuật toán mật mã mạnh ho vi mã hoá v á hm
-
b m, ó th sử dụng xá thự dự tr n hứng hỉ
- IPSec v SS ung p tính n ng sinh khoá v l m tƣơi khoá m không phải truy n
b t k khoá n o dƣới dạng rõ h y ngoại tuyến
2 Điểm khác nhau giữa IPSec và SSL:
- SS ƣợ thự thi nhƣ một A giữ t ng ứng dụng v t ng vận tải; Se ƣợ
thự thi nhƣ một khung l m vi tại t ng li n mạng
- SS ung p tính n ng bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: giữ
WebBrowser v WebServer); Se ung p tính n ng bảo mật từ thiết b - tới - thiết
b
- SS không bảo v lƣu lƣợng U ; Se thì ó
- SS hoạt ộng từ i m uối - tới - i m uối v không ó khái ni m ƣờng h m
i u n y ó th l một v n lú lƣu lƣợng n ƣợ xem xét bằng á h ki m tr nội
dung v quét virus trƣớ khi nó ƣợ phân phối th nh ông ến í h; Se ó th
hoạt ộng theo h i á h, i m uối - tới - i m uối v nhƣ một ƣờng h m
V : Ths V n Thi n o ng ti S
- 8
- SS ó th vƣợt qu AT hoặ SO S, húng d ng he d u u trú hỉ
b n trong hoặ tránh sự xung ột hỉ ri ng; Se trong hế ộ vận tải (end –
to- end) không th sử dụng AT nhƣng nó ó th d ng một ƣờng h m Se ạt
ƣợ mụ ti u tƣơng tự v thậm hí bảo mật hơn AT vì ƣờng h m ũng ó th
ƣợ mã hoá.
- á ứng dụng n phải sử ổi sử dụng SS i u n y ó th l một v n lú
t không truy ập ƣợ mã nguồn ủ ứng dụng hoặ không ó thời gi n h y kinh
nghi m th y ổi mã nguồn ủ ứng dụng; Se ho n to n trong suốt với á ứng
dụng
Thông thƣờng SS l tốt lú t hỉ ó một ứng dụng ƣợ bảo v v nó ã sẵn ó
trong một phi n bản SS - w re ây l trƣờng hợp ó một ứng dụng huẩn dạng,
không hỉ với Web rowser v WebServer go i r , nếu ó tu h n ủ vi thự
thi khái ni m 3-tier bằng á h tận dụng á ổng ứng dụng Web tại v nh iủ
mạng, SS l một sự lự h n tốt ếu ó một số lƣợng lớn á ứng dụng bảo
ảm n to n ó th phải h n giải pháp tốt hơn ho mạng Trong trƣờng hợp n y,
Se l sự lự h n tốt hơn Trừ khi tự t phát tri n á ứng dụng, Se m m dẻo
hơn SS thự thi một hính sá h bảo mật y u u nhi u mứ khá nh u v sự kết
hợp ủ xá thự , mã hoá v ƣờng h m
VI . LIÊN K T BẢO MẬT:
-SA(Se urity Asso i tions): l một khái ni m ơ bản trong bộ gi o thứ Se SA
l một kết nối luận lý theo phƣơng hƣớng duy nh t giữ h i thự th sử dụng á d h
vụ Se SA gồm ó 3 trƣờng:
V : Ths V n Thi n o ng ti S
- 9
+ S (Se urity r meter ndex):l một trƣờng 32 bits d ng nhận dạng á
gi o thứ bảo mật, ƣơ nh nghĩ bởi á trƣờng Se urity proto ol trong bộ Se
ng dung S nhƣ l ph n u ủ gi o thứ bảo mật v thƣờng h n bởi h thống
í h trong suốt quá trình thỏ thuận ủ SA
+ estin tion ddress: hỉ ủ nút í h ơ hế quản lý SA hỉ
ƣợ nh nghĩ ho h thống uni st mặ d nó ó th l h thống bro d st,uni st
hay multicast.
+Se urity proto ol;mô tả gi o thứ bảo mật Se ,l A hoặ S SA trong
Se ƣợ tri n kh i theo 2 hế ộ :tr nsport mode v tunnel mode
V : Ths V n Thi n o ng ti S
- 10
CHƯƠNG 2: CHI TI T
I. MÔ HÌNH KI N TRÚC:
1. Tồng quan:
Hình kiến trúc IPSec
Từ khi ông ngh ipse r ời, nó không hỉ òn ƣợ biết ến nhƣ một huẩn interrnet ơn
lẽ nữ , m hơn thế nữ òn ƣợ nh nghĩ trong huẩn RF , ƣợ k ến trong bảng s u:
V : Ths V n Thi n o ng ti S
- 11
- iến trú Se : Quy nh á u trú , á khái ni m v y u u ủ Se
- i o thứ S : l một gi o thứ mật mã v xá thự thông tin trong Se
- i o thứ A : l gi o thứ hứ n ng g n giống S hƣ vậy khi tri n kh i
Se , ngƣời sử dụng ó th h n d ng S hoặ A , mỗi gi o thứ ó ƣu v nhƣợ
i m ri ng
- Thuật toán mật mã: nh nghĩ á thuật toán mã hoá v giải mã sử dụng trong
Se Se hủ yếu dự v o á thuật toán mã hoá ối xứng
- Thuật toán xá thự : nh nghĩ á thuật toán xá thự thông tin sử dụng trong A
và ESP.
- Quản lý khoá : ô tả á ơ hế quản lý v tr o ổi khoá trong Se
- i n thự thi ( om in of nterpret tion – O ): nh nghĩ môi trƣờng thự thi
V : Ths V n Thi n o ng ti S
- 12
IPSec. IPSec không phải l một ông ngh ri ng bi t m l sự tổ hợp ủ nhi u ơ
hế, gi o thứ v kỹ thuật khá nh u, trong ó mỗi gi o thứ , ơ hế u ó nhi u
hế ộ hoạt ộng khá nh u Vi xá nh một tập á hế ộ n thiết tri n khai
Se trong một tình huống ụ th l hứ n ng ủ mi n thự thi Xét v mặt ứng
dụng, Se thự h t l một gi o thứ hoạt ộng song song với nhằm ung p 2
hứ n ng ơ bản m nguy n thuỷ hƣ ó, ó l mã hoá v xá thự gói dữ li u
ột á h khái quát ó th xem Se l một tổ hợp gồm h i th nh ph n:
-Giao thứ óng gói, gồm A v S
- i o thứ tr o ổi khoá IKE (Internet Key Exchange)
2 Các dịch vụ của IPSec:
Quản lý truy xu t ( ess ontrol)
To n vẹn dữ li u ở hế ộ không kết nối ( onne tionless integrity)
Xá thự nguồn gố dữ li u (d t origin uthenti tion )
hống phát lại ( nti-replay)
ã hoá dữ li u (en ryption)
ảo mật dòng lƣu lƣợng (tr ffi flow onfidenti lity)
Vi ung p á d h vụ n y trong từng tình huống ụ th phụ thuộ v o gi o thứ
óng gói ƣợ d ng l A h y S Theo ó nếu gi o thứ ƣợ h n l A thì á
d h vụ mã hoá v bảo mật dòng dữ li u sẽ không ƣợ ung p
ĐÓNG GÓI THÔNG TIN CỦA IPSEC
II
1. Các kiểu sử dụng:
i n tại Se ó h i hế ộ l m vi :Tr nsport ode v Tunel ode ả A
v S u ó th l m vi với một trong h i hế ộ n y
V : Ths V n Thi n o ng ti S
- 13
a. Kiểu Transport:
Tr nsport mode ung p ơ hế bảo v ho dữ li u ủ á lớp o
hơn (T , U hoặ ) Trong Tr nsport mode, ph n Se he der ƣợ
hèn v o giữ ph n he der v ph n he der ủ gi o thứ t ng tr n, A v S
sẽ ƣợ ặt s u he der nguy n thủy Vì vậy hỉ ó tải ( p ylo d) l ƣợ mã
hó v he der b n u l ƣợ giữ nguy n vẹn Tr nsport mode ó th ƣợ
dùng khi ả h i host hỗ trợ Se hế ộ tr nsport n y ó thuận lợi l hỉ th m
v o v i bytes ho mỗi p kets v nó ũng ho phép á thiết b tr n mạng th y
ƣợ hỉ í h uối ng ủ gói hả n ng n y ho phép á tá vụ xử lý ặ
bi t tr n á mạng trung gi n dự tr n á thông tin trong he der Tuy nhi n á
thông tin yer 4 sẽ b mã hó , l m giới hạn khả n ng ki m tr ủ gói
V : Ths V n Thi n o ng ti S
- 14
Hình p ở ki u tr nsport
Kiểu Tunnel:
b.
i u này bảo v toàn bộ gói IP. Gói IP ban u (bao gồm cả IP header) ƣợc
xác thực hoặc mật mã. Sau ó, gói IP ã mã hóa ƣợc óng gói vào một IP
header mới chỉ IP bên ngoài ƣợc sử dụng cho nh tuyến gói IP truy n qua
Internet.
Trong ki u Tunnel, toàn bộ gói IP ban u ƣợc óng gói và trở thành
Payload củ gói IP mới Ki u này cho phép các thiết b mạng nhƣ router thực
hi n xử lý IPSec thay cho các trạm cuối (host).
III GIAO THỨC XÁC THỰC AH (Authentication Header)
1. Giới thiệu:
AH cung c p xác thực nguồn gố dữ li u (data origin authentication), ki m
tra tính toàn vẹn dữ li u (data integrity), và d h vụ chống phát lại (anti-replay
ến ây, c n phải phân bi t ƣợc hai khái ni m toàn vẹn dữ li u và
service).
chống phát lại: toàn vẹn dữ li u là ki m tra những thay ổi củ từng gói tin IP,
không quan tâm ến v trí các gói trong luồng lƣu lƣợng; còn d h vụ chống phát
lại l ki m tra sự phát lặp lại một gói tin tới chỉ í h nhi u hơn một l n. AH
cho phép xác thực các trƣờng củ IP header cũng nhƣ dữ li u của các giao thức
lớp trên, tuy nhiên do một số trƣờng củ IP header thay ổi trong khi truy n và
phía phát có th không dự oán trƣớc ƣợc giá tr củ chúng khi tới phía thu, do
ó giá tr củ các trƣờng này không bảo v ƣợc bằng AH. Có th nói AH chỉ bảo
v một ph n củ IP header mà thôi. AH không cung p b t cứ xử lý nào v bảo
mật dữ li u của các lớp trên, t t cả u ƣợc truy n dƣới dạng v n bản rõ. AH
V : Ths V n Thi n o ng ti S
- 15
nhanh hơn ESP, nên có th ch n AH trong trƣờng hợp chắc chắn v nguồn gố
và tính toàn vẹn củ dữ li u nhƣng tính bảo mật dữ li u không n ƣợc chắc
chắn.
Giao thức AH cung c p chức n ng xác thực bằng cách thực hi n một hàm
b m một chi u (one-way hash function) ối với dữ li u củ gói tạo ra một
oạn mã xác thực (hash hay message digest). oạn mã ó ƣợc chèn vào thông
tin củ gói truy n i hi ó, b t cứ thay ổi nào ối với nội dung củ gói trong
quá trình truy n i u ƣợc phía thu phát hi n khi nó thực hi n cùng với một
hàm b m một chi u ối với gói dữ li u thu ƣợ v ối chiếu nó với giá tr hash
ã truy n i. Hàm b m ƣợc thực hi n trên to n bộ gói dữ li u, trừ một số trƣờng
trong IP header có giá tr b thay ổi trong quá trình truy n mà phía thu không
th dự oán trƣớc ƣợc (ví dụ trƣờng thời gian sống củ gói tin b các router thay
ổi trên ƣờng truy n dẫn).
2. Cấu trúc gói AH:
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Payload
Next header RESERVED
length
Security parameters index (SPI)
Sequence number
Authentication data (variable)
Hình :gi o thứ A
V : Ths V n Thi n o ng ti S
- 16
Ý nghĩa của từng phần:
tiếp theo) Có ộ dài 8 bit nhận dạng loại dữ
* Next Header (tiêu
li u của ph n tải tin theo sau AH. Giá tr này ƣợc ch n lựa từ tập các số giao
thức IP ã ƣợ nh nghĩ trong các RFC g n ây nh t.
* Payload length ( ộ dài tải tin): Có ộ dài 8 bit và chứa ộ dài của tiêu
AH ƣợc di n tả trong các từ 32 bit, trừ 2. Ví dụ trong trƣờng hợp của thuật
toán toàn vẹn mà mang lại một giá tr xác minh 96 bit (3x32 bit), cộng với 3
từ 32 bit ã cố nh, trƣờng ộ dài này có giá tr là 4. Với IPv6, tổng ộ dài
c ủ a t iê u phải là bội của các khối 8.
* Reserved (dự trữ): Trƣờng 16 bit này dự trữ cho ứng dụng trong tƣơng lai
* Security Parameters Index (SPI: chỉ dẫn thông số an ninh): Trƣờng này
có ộ dài 32 bit, mang tính ch t bắt buộc.
* Sequence Number (số thứ tự): ây là trƣờng 32 bit không ánh d u
chứa một giá tr mà khi mỗi gói ƣợc gửi i thì t ng một l n Trƣờng này có
tính bắt buộc. Bên gửi luôn luôn bao gồm trƣờng này ngay cả khi bên nhận
không sử dụng d h vụ chống phát lại. Bộ ếm bên gửi và nhận ƣợc khởi tạo
ban u là 0, gói u tiên có số thứ tự là
1. Nếu d h vụ chống phát lại ƣợc sử dụng, chỉ số này không th lặp lại, sẽ có
một yêu u kết thúc phiên truy n thông và SA sẽ ƣợc thiết lập mới trở lại
trƣớc khi truy n 2 32 gói mới.
* Authentication Data (dữ li u nhận thực): Còn ƣợc g i là ICV (Integrity
Check Value: giá tr ki m tra tính toàn vẹn) có ộ dài thay ổi, bằng số nguyên
l n củ 32 bit ối với IPv4 và 64 bit ối với IPv6, và có th chứa m lp y
cho ủ là bội số các bit nhƣ trên. ICV ƣợc tính toán sử dụng thuật toán nhận
thực, bao gồm mã nhận thực bản tin (Message Authentication Code MACs).
MACs ơn giản có th là thuật toán mã hóa MD5 hoặc SHA-1. Các khóa dùng
cho mã hóa AH là các khóa xác thực bí mật ƣợc chia sẻ giữa các ph n truy n
thông có th là một số ngẫu nhiên, không phải là một chuỗi có th oán trƣớc củ
b t cứ loại nào. Tính toán ICV ƣợc thực hi n sử dụng gói tin mới ƣa vào. B t
kì trƣờng có th biến ổi của IP header nào u ƣợc cài ặt bằng 0, dữ li u lớp
trên ƣợc giả sử là không th biến ổi Mỗi bên tại u cuối IP-VPN tính toán
ICV này ộ lập. Nếu ICV tính toán ƣợc ở phía thu và ICV ƣợc phía phát
truy n ến khi so sánh với nhau mà không phù hợp thì gói tin b loại bỏ, bằng
V : Ths V n Thi n o ng ti S
- 17
cách nhƣ vậy sẽ ảm bảo rằng gói tin không b giả mão.
1. Quá trình xử lý AH:
Hoạt ộng của AH ƣợc thực hi n qua các bƣớc nhƣ sau:
Bƣớc 1: Toàn bộ gói IP (bao gồm IP header và tải tin) ƣợc thực hi n
qua một hàm b m một chi u.
Bƣớc 2: Mã hash thu ƣợc dùng xây dựng một AH header, ƣa header
này vào gói dữ li u ban u.
Bƣớc 3: Gói dữ li u sau khi thêm AH header ƣợc truy n tới ối tác IPSec.
Bƣớc 4: Bên thu thực hi n hàm b m với IP header và tải tin, kết quả thu
ƣợ một mã hash.
Bƣớc 5: Bên thu tách mã hash trong AH header.
Bƣớ 6: Bên thu so sánh mã hash mà nó tính ƣợ mà mã hash tách ra
từ AH header. Hai mã hash này phải hoàn toàn giống nhau. Nếu khác nhau
hỉ một bit trong quá trình truy n thì 2 mã hash sẽ không giống nhau, bên thu
lập tức phát hi n tính không toàn vẹn củ dữ li u.
a. V trí ủ A :
AH có hai ki u hoạt ộng, ó là ki u Transport và ki u Tunnel. Ki u
Transport l ki u u tiên ƣợc sử dụng cho kết nối u cuối giữa các host
hoặc các thiết b hoạt ộng nhƣ host v ki u Tunnel ƣợc sử dụng cho các ứng
dụng còn lại.
Ở ki u Transport cho phép bảo v các giao thức lớp trên, cùng với một số
trƣờng trong IP header. Trong ki u này, AH ƣợc chèn vào sau IP header và
trƣớc một giao thức lớp trên (chẳng hạn nhƣ TCP, UDP, ICMP…) và trƣớc các
IPSec header ã ƣợc chen vào. ối với IPv4, AH ặt sau IP header và trƣớc giao
thức lớp trên (ví dụ ở ây là TCP). ối với IPv6, AH ƣợc xem nhƣ ph n tải u
cuối-tới - u cuối, nên sẽ xu t hi n sau các ph n header mở rộng hop-to-hop,
routing và fragmentation. Các lựa ch n í h(dest options extension headers) có
th trƣớc hoặc sau AH.
V : Ths V n Thi n o ng ti S
- 18
Hinh: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport
Hình : Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport
Trong ki u Tunnel, inner IP header mang chỉ nguồn và í h cuối cùng, còn
chỉ nh tuyến qua Internet. Trong ki u này, AH
outer IP header mang
bảo v to n bộ gói tin IP bên trong, bao gồm cả inner IP header (trong khi AH
Transport chỉ bảo v một số trƣờng của IP header). So với outer IP header thì v
trí củ AH giống nhƣ trong ki u Trasport.
Hình: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel
V : Ths V n Thi n o ng ti S
- 19
b. á thuật toán xá thự :
Thuật toán xác thực sử dụng tính ICV ƣợc xác nh bởi kết hợp an
ối với truy n thông i m tới i m, cá thuật
ninh SA (Security Association)
toán xác thực thích hợp bao gồm các hàm b m một chi u (MD5, SHA-1). ây
chính là những thuật toán bắt buộ mà một ứng dụng AH phải hỗ trợ
c.Xử lý gói ur :
Trong ki u Transport, phía phát chèn AH header vào sau IP header và
trƣớc một header của giao thức lớp trên. Trong ki u Tunnel, có thêm sự xu t
hi n củ outer IP header. Quá trình xử lý gói tin u r nhƣ sau:
- Tìm kiếm SA: AH ƣợc thực hi n trên gói tin u ra chỉ khi quá trình
IPSec ã xác nh ƣợc gói tin ó ƣợc liên kết với một SA. SA ó sẽ yêu u
AH xử lý gói tin Vi nh quá trình xử lý IPSec nào c n thực hi n trên lƣu
xác
lƣợng u ra có th xem trong RFC 2401.
Tạo SN: bộ ếm phía phát ƣợc khởi tạo 0 khi một SA ƣợc
+
thiết lập. Phía phát t ng SN cho SA này và chèn giá tr SN ó vào trƣờng
Sequence Number. Nếu d h vụ anti-replay (chống phát lại) ƣợc lựa
ch n, phía phát ki m tra ảm bảo bộ ếm không b lặp lại trƣớc khi
chèn một giá tr mới Nếu d h vụ anti-replay không ƣợc lựa ch n thì phía
phát không c n giám sát ến, tuy nhiên nó vẫn ƣợc t ng cho ến khi quay
trở lại 0.
+ Tính toán ICV: bằng cách sử dụng các thuật toán, phía thu sẽ
tính toán lại ICV ở phía thu và so sánh nó với giá tr có trong AH quyết nh
tới khả n ng tồn tại của gói tin ó.
+ Chèn dữ li u: có hai dạng chèn dữ li u trong AH, ó là chèn
dữ li u xác thực (Authentication Data Padding) và chèn gói ng m nh
(Implicit Packet Padding). ối với chèn dữ li u xác thực, nếu u ra củ thuật
toán xác thực là bội số củ 96 bit thì không ƣợc chèn. Tuy nhiên nếu ICV có
kích thƣớc khác thì vi c chèn thêm dữ li u là n thiết. ội dung của ph n dữ
li u chèn là tùy ý, cũng có mặt trong phép tính ICV v ƣợc truy n i Chèn gói
ng m nh ƣợc sử dụng khi thuật toán xác thực yêu c u tính ICV là số nguyên
củ một khối b byte nào ó và nếu ộ dài gói IP không thỏ mãn i u ki n ó
V : Ths V n Thi n o ng ti S
- 20
thì chèn gói ng m nh ƣợc thực hi n ở phía cuối của gói trƣớc khi tính ICV.
Các byte chèn này có giá tr là 0 và không ƣợc truy n i cùng với gói.
+ Phân mảnh: khi c n thiết, phân mảnh sẽ ƣợc thực hi n sau khi
ã xử lý AH. Vì vậy AH trong ki u transport chỉ ƣợc thực hi n trên toàn bộ gói
IP, không thực hi n trên từng mảnh Nếu bản thân gói IP ã qua xử lý AH b phân
mảnh trên ƣờng truy n thì ở phí thu phải ƣợc ghép lại trƣớc khi xử lý AH. Ở
ki u Tunnel, AH có th thực hi n trên gói IP mà ph n tải tin là một gói IP phân
mảnh
V : Ths V n Thi n o ng ti S
nguon tai.lieu . vn