Tiểu Luận IP SEC
lượt xem 75
download
Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay. Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet. Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật sự được quan tâm, do đó, các giao thức trong bộ TCP/IP...
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Tiểu Luận IP SEC
- 1 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP. HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN ------------------ BÁO CÁO ĐỀ TÀI IP SEC GVHD: ThS V n Thi n o ng SVTH: guy n Tr n uy ảo(1091021011) Th Thu Thủy(1091021183) u nh Th g h nh(1091021071) guy n ng Tri u(1091021206) Tr n inh T n(1091021160) guy n Tu n Huy(1091021066) V : Ths V n Thi n o ng ti S
- 2 Mục lục CHƢƠNG 1: GIỚI THIỆU .................................................. 3 U ẦU SỪ DỤNG IPSEC HIỆN NAY: ................... 3 I. ỆM: ................................................................... 4 II. III VAI TRÒ CỦA IPSEC: ................................................... 5 1. Ƣu i m:........................................................................... 6 2 huyết i m: .................................................................... 6 V AO T ỨC TƢƠ ƢƠNG: ....................... 7 1 i m giống nhau giữa IPSec và SSL:........................... 7 2 i m khác nhau giữa IPSec và SSL: ............................. 7 V Ê ẾT BẢO MẬT: ................................................ 8 CHƢƠNG 2: CHI TIẾT ..................................................... 10 I. Ô Ì ẾN TRÚC: .............................................. 10 1. Tồng quan: ..................................................................... 10 Hình kiến trúc IPSec ........................................................ 10 2 á d ch vụ của IPSec:.............................................. 12 1. á ki u sử dụng: .......................................................... 12 III ............. AO T ỨC XÁC THỰC AH (Authentication Header) ............................................................................... 14 1. iới thi u: ...................................................................... 14 2. u trúc gói AH:............................................................ 15 IV AO T ỨC ENCAPSULATING SECURITY PAYLOAD (ESP) .............................................................. 23 1. iới thi u: ...................................................................... 23 2. C u trúc gói tin ESP: ..................................................... 23 CHƯƠNG K T UẬN ............................................. 48 V : Ths V n Thi n o ng ti S
- 3 CHƯƠNG 1: GIỚI THIỆU I. NHU CẦU SỪ DỤNG IPSEC HIỆN NAY: i o thứ T / óng một v i trò r t qu n tr ng trong á h thống hi n n y V nguy n tắ , ó nhi u t y h n khá nh u v gi o thứ tri n kh i á h thống mạng nhƣ T / , T X/S X, et U , Apple t lk,… Tuy nhi n T / l sự lự h n g n nhƣ bắt buộ do gi o thứ n y ƣợ sử dụng l m gi o thứ n n tảng ủ mạng nternet V o thời i m thiết kế gi o thứ n y, v n bảo mật thông tin hƣ thật sự ƣợ qu n tâm, do ó, á gi o thứ trong bộ T / h u nhƣ không ƣợ tr ng b b t ứ gi o thứ n o u trú gói dữ li u ( , T ,U v ả á gi o thứ ứng dụng) ƣợ mô tả ông kh i, bắt ƣợ gói tr n mạng, i ũng ó th phân tí h gói ph n dữ li u hứ b n trong, ó l hƣ k hi n n y, á ông ụ bắt v phân tí h gói ƣợ xây dựng với tính n ng mạnh v phát h nh rộng rãi Vi bổ sung á ơ hế bảo mật v o mô hình T / , bắt u từ gi o thứ l một nhu u p bá h IP Se urity ( Se ) l một gi o thứ ƣợ huẩn hoá bởi TF từ n m 1998 nhằm mụ í h nâng pá ơ hế mã hoá v xá thự thông tin ho huỗi thông tin truy n i tr n mạng bằng gi o thứ y nói á h khá , Se l sự tập hợp ủ á huẩn mở ƣợ thiết lập ảm bảo sự ẩn mật dữ li u, ảm bảo tính to n vẹn dữ li u v hứng thự dữ li u giữ á thiết b mạng Se ung p một ơ u bảo mật ở t ng 3 ( etwork l yer) ủ mô hình OS Se ƣợ thiết kế nhƣ ph n mở rộng ủ gi o thứ , ƣợ thự hi n thống nh t trong ả h i phi n bản v4 v v6 ối với v4, vi áp dụng Se l một tu h n, nhƣng ối với v6, gi o thứ bảo mật n y ƣợ tri n kh i bắt buộ . V : Ths V n Thi n o ng ti S
- 4 II. KHÁI NIỆM: IPSec (Internet Protocol Security) là một giao thức ƣợc IETF phát tri n. IPSe ƣợc nh nghĩ là một giao thức trong t ng mạng cung c p các d h vụ bảo mật, nhận thực, toàn vẹn dữ li u và i u khi n truy cập. Nó là một tập hợp các tiêu chuẩn mở l m vi cùng nhau giữa các ph n thiết b Một cách chung nh t, IPSec cho phép một ƣờng ng m bảo mật thiết lập giữa 2 mạng riêng và nhận thực hai u củ ƣờng ng m này. Các thiết b giữa hai u ƣờng ng m có th là một cặp host, hoặc một cặp cổng bảo mật (có th là router, firewall, bộ tập trung VPN) hoặc một cặp thiết b gồm một host và một cổng bảo mật ƣờng ng m óng vai trò là một kênh truy n bảo mật giữa hai u và các gói dữ li u yêu c u an to n ƣợc truy n trên ó. IPSec cũng thực hi n óng gói dữ li u các thông tin thiết lập, duy trì và hủy bỏ kênh truy n khi không dùng ến nữa. Các gói tin truy n trong ƣờng ng m có khuôn dạng giống nhƣ các gói tin bình thƣờng khác và không làm thay ổi cá thiết b , kiến trúc cũng nhƣ những ứng dụng hi n có trên mạng trung gian, qua ó cho phép giảm áng k chi phí tri n khai và quản lý. IPSec có hai cơ chế cơ bản ảm bảo an toàn dữ li u ó là AH (Authentication Header) và ESP (Encapsulating Security Payload), trong ó IPSec phải hỗ trợ ESP và có th hỗ trợ AH: + AH cho phép xác thực nguồn gố dữ li u, ki m tra tính toàn vẹn dữ li u và d h vụ tùy ch n chống phát lại củ các gói IP truy n giữa hai h thống AH không cung c p tính bảo mật, i u này có nghĩ là nó gửi i thông tin dƣới dạng bản rõ. + ESP là một giao thức cung c p tính an toàn củ các gói tin ƣợc truy n bao gồm: ật mã dữ li u, xác thực nguồn gố dữ li u, ki m tra tính toàn vẹn phi kết nối củ dữ li u ESP ảm bảo tính bí mật củ thông tin thông qua vi c mật mã gói tin IP. T t cả lƣu lƣơng ESP u ƣợc mật mã giữa hai h thống Với ặc i m này thì xu hƣớng sẽ sử dụng ES nhi u hơn AH t ng tính an toàn cho dữ li u. + Cả AH và ESP là các phƣơng ti n cho i u khi n truy nhập, dựa vào sự phân phối củ các khóa mật mã và quản lý các luồng giao thông có liên quan ến những giao thức an toàn này. V : Ths V n Thi n o ng ti S
- 5 Những giao thức này có th ƣợc áp dụng một mình hay kết hợp với nhau cung c p tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhƣng cách chúng cung c p các d h vụ là khác nhau. ối với cả hai giao thức AH và nh các thuật toán an toàn cụ th ƣợc sử dụng, mà thay ESP này, IPSec không vào ó là một khung chuẩn sử dụng các thuật toán theo tiêu chuẩn công nghi p. IPSec sử dụng các thuật toán: Mã nhận thực bản tin trên cơ sở b m (HMAC), thuật toán MD5 (Message Digest 5), thuật toán SHA-1 thực hi n chức n ng toàn vẹn bản tin; Thuật toán DES, 3DES mật mã dữ li u; Thuật toán khóa chia sẻ trƣớc, RSA chữ ký số và RSA mật mã giá tr ngẫu nhiên nhận thực các bên. Ngoài ra các chuẩn còn nh nghĩa vi sử dụng (Nonces) cá thuật toán khác nhƣ IDEA, Blowfish và RC4.IPSec có th sử dụng giao thức xác thực hai phía và làm giao thức thƣơng lƣợng IKE (Internet Key Exchange) các chính sách bảo mật và nhận thực thông qua vi c xá nh thuật toán ƣợc thiết lập kênh truy n, trao ổi khóa cho mỗi phiên kết nối, dùng trong dùng mỗi phiên truy cập. Mạng dùng IPSec bảo mật các dòng dữ li u có th tự ộng ki m tra tính xác thực của thiết b bằng gi y chứng nhận số của hai ngƣời dùng trao ổi thông tin qua lại Vi c thƣơng lƣợng này cuối cùng dẫn ến thiết lập kết hợp an ninh (SAs) giữa các cặp bảo mật, kết hợp an ninh này có tính ch t hai chi u trực tiếp Thông tin kết hợp an ninh ƣợc lƣu trong cơ sử dữ li u liên kế an ninh, và mỗi SA ƣợc n nh một số tham số an ninh trong bảng mụ lụ sao cho khi kết hợp một chỉ ích với giao thức an ninh (ESP hoặc AH) thì có duy nh t một. III VAI TRÒ CỦA IPSEC: -Cho phép xác thự h i hi u,trƣớ v trong quá trình truy n tải dữ li u - ã hó ƣờng truy n giữ 2 máy khi ƣợ gửi qu 1 mạng - ảo v gói dữ li u v phòng ngự á uộ t n ông mạng không b o mật ov á lƣu lƣợng bằng vi sử dụng mã hó v ánh d u dữ li u - - hính sá h S ho phép nh nghĩ r á loại lƣu lƣợng m Se ki m tr v á lƣu lƣợng ó sẽ ƣợ bảo mật v mã hó nhƣ thế n o? V : Ths V n Thi n o ng ti S
- 6 ƯU ĐIỂM VÀ KHUY T ĐIỂM CỦA IPSEC : IV 1. Ưu điểm: Se ƣợ tri n kh i tr n bứ tƣờng lử hoặ bộ nh tuyến ủ một mạng -Khi ri ng thì tính n ng n to n ủ Se ó th áp dụng ho to n bộ v o r mạng ri ng óm á th nh ph n khá không n phải xử lý them á ông vi liên qu n tới bảo mật - Se ƣợ thự hi n b n dƣới lớp T vU , ồng thời nó hoạt ộng trong suốt ối với á lớp n y o vậy không n phải th y ổi ph n m m h y u hình lại á d h vụ khi Se ƣợ tri n kh i - Se ó th ƣợ u hình hoạt ộng một á h trong suốt ối với á ứng dụng u uối, i u n y giúp he d u những hi tiết u hình phứ tạp m ngƣới dung phải thự hi n khi kết nối ến mạng nội bộ từ x thông qu internet. 2. Khuyết điểm: - T t ả á gói ƣợ xử lý theo Se sẽ b t ng kí h thƣớ do phải th m v o các ti u khá nh u, v i u n y l m ho thông lƣợng hi u dụng ủ mạng giảm xuống Vn n y ó th ƣợ khắ phụ bằng á h nén dữ li u trƣớ khi mã hó , song á kĩ thuật nhƣ vậy vẫn òn ng nghi n ứu v hƣ ƣợ huẩn hó Se ƣợ thiết kế hỉ hỗ trợ bảo mật ho lƣu lƣợng , không hỗ trợ á - dạng lƣu lƣợng khá - Vi tính toán nhi u giải thuật phứ tạp trong Se vẫn òn l một v n khó ối với á trạm l m vi v máy n ng lự yếu - Vi phân phối á ph n ứng v ph m m m mật mã vẫn òn b hạn hế ối với hính phủ một số quố gi V : Ths V n Thi n o ng ti S
- 7 V CÁC GIAO THỨC TƯƠNG ĐƯƠNG: Se ung p tính n ng mã hoá v xá thự mạnh ho lƣu lƣợng v ũng ung p tính n ng tr o ổi v l m tƣơi khoá dự tr n hứng hỉ nhờ sử dụng i ến kết luận một á h thận tr ng, t phải xu t rằng những tính n ng n y l n thiết giống nhƣ á tính n ng m SS v T S ung p Trong ph n n y húng t lƣu ý ến sự giống nh u v khá nh u ơ bản giữ Se v SS v giải thí h những phạm vi n o sử dụng ả h i gi o thứ 1. Điểm giống nhau giữa IPSec và SSL: Se v SS ung p xá thự lient v Server - Se v SS ung p tính n ng ảm bảo n to n v xá thự ối với dữ li u, thậm - hí tr n á mứ khá nh u ủ hồng gi o thứ Se v SS ó th d ng á thuật toán mật mã mạnh ho vi mã hoá v á hm - b m, ó th sử dụng xá thự dự tr n hứng hỉ - IPSec v SS ung p tính n ng sinh khoá v l m tƣơi khoá m không phải truy n b t k khoá n o dƣới dạng rõ h y ngoại tuyến 2 Điểm khác nhau giữa IPSec và SSL: - SS ƣợ thự thi nhƣ một A giữ t ng ứng dụng v t ng vận tải; Se ƣợ thự thi nhƣ một khung l m vi tại t ng li n mạng - SS ung p tính n ng bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: giữ WebBrowser v WebServer); Se ung p tính n ng bảo mật từ thiết b - tới - thiết b - SS không bảo v lƣu lƣợng U ; Se thì ó - SS hoạt ộng từ i m uối - tới - i m uối v không ó khái ni m ƣờng h m i u n y ó th l một v n lú lƣu lƣợng n ƣợ xem xét bằng á h ki m tr nội dung v quét virus trƣớ khi nó ƣợ phân phối th nh ông ến í h; Se ó th hoạt ộng theo h i á h, i m uối - tới - i m uối v nhƣ một ƣờng h m V : Ths V n Thi n o ng ti S
- 8 - SS ó th vƣợt qu AT hoặ SO S, húng d ng he d u u trú hỉ b n trong hoặ tránh sự xung ột hỉ ri ng; Se trong hế ộ vận tải (end – to- end) không th sử dụng AT nhƣng nó ó th d ng một ƣờng h m Se ạt ƣợ mụ ti u tƣơng tự v thậm hí bảo mật hơn AT vì ƣờng h m ũng ó th ƣợ mã hoá. - á ứng dụng n phải sử ổi sử dụng SS i u n y ó th l một v n lú t không truy ập ƣợ mã nguồn ủ ứng dụng hoặ không ó thời gi n h y kinh nghi m th y ổi mã nguồn ủ ứng dụng; Se ho n to n trong suốt với á ứng dụng Thông thƣờng SS l tốt lú t hỉ ó một ứng dụng ƣợ bảo v v nó ã sẵn ó trong một phi n bản SS - w re ây l trƣờng hợp ó một ứng dụng huẩn dạng, không hỉ với Web rowser v WebServer go i r , nếu ó tu h n ủ vi thự thi khái ni m 3-tier bằng á h tận dụng á ổng ứng dụng Web tại v nh iủ mạng, SS l một sự lự h n tốt ếu ó một số lƣợng lớn á ứng dụng bảo ảm n to n ó th phải h n giải pháp tốt hơn ho mạng Trong trƣờng hợp n y, Se l sự lự h n tốt hơn Trừ khi tự t phát tri n á ứng dụng, Se m m dẻo hơn SS thự thi một hính sá h bảo mật y u u nhi u mứ khá nh u v sự kết hợp ủ xá thự , mã hoá v ƣờng h m VI . LIÊN K T BẢO MẬT: -SA(Se urity Asso i tions): l một khái ni m ơ bản trong bộ gi o thứ Se SA l một kết nối luận lý theo phƣơng hƣớng duy nh t giữ h i thự th sử dụng á d h vụ Se SA gồm ó 3 trƣờng: V : Ths V n Thi n o ng ti S
- 9 + S (Se urity r meter ndex):l một trƣờng 32 bits d ng nhận dạng á gi o thứ bảo mật, ƣơ nh nghĩ bởi á trƣờng Se urity proto ol trong bộ Se ng dung S nhƣ l ph n u ủ gi o thứ bảo mật v thƣờng h n bởi h thống í h trong suốt quá trình thỏ thuận ủ SA + estin tion ddress: hỉ ủ nút í h ơ hế quản lý SA hỉ ƣợ nh nghĩ ho h thống uni st mặ d nó ó th l h thống bro d st,uni st hay multicast. +Se urity proto ol;mô tả gi o thứ bảo mật Se ,l A hoặ S SA trong Se ƣợ tri n kh i theo 2 hế ộ :tr nsport mode v tunnel mode V : Ths V n Thi n o ng ti S
- 10 CHƯƠNG 2: CHI TI T I. MÔ HÌNH KI N TRÚC: 1. Tồng quan: Hình kiến trúc IPSec Từ khi ông ngh ipse r ời, nó không hỉ òn ƣợ biết ến nhƣ một huẩn interrnet ơn lẽ nữ , m hơn thế nữ òn ƣợ nh nghĩ trong huẩn RF , ƣợ k ến trong bảng s u: V : Ths V n Thi n o ng ti S
- 11 - iến trú Se : Quy nh á u trú , á khái ni m v y u u ủ Se - i o thứ S : l một gi o thứ mật mã v xá thự thông tin trong Se - i o thứ A : l gi o thứ hứ n ng g n giống S hƣ vậy khi tri n kh i Se , ngƣời sử dụng ó th h n d ng S hoặ A , mỗi gi o thứ ó ƣu v nhƣợ i m ri ng - Thuật toán mật mã: nh nghĩ á thuật toán mã hoá v giải mã sử dụng trong Se Se hủ yếu dự v o á thuật toán mã hoá ối xứng - Thuật toán xá thự : nh nghĩ á thuật toán xá thự thông tin sử dụng trong A và ESP. - Quản lý khoá : ô tả á ơ hế quản lý v tr o ổi khoá trong Se - i n thự thi ( om in of nterpret tion – O ): nh nghĩ môi trƣờng thự thi V : Ths V n Thi n o ng ti S
- 12 IPSec. IPSec không phải l một ông ngh ri ng bi t m l sự tổ hợp ủ nhi u ơ hế, gi o thứ v kỹ thuật khá nh u, trong ó mỗi gi o thứ , ơ hế u ó nhi u hế ộ hoạt ộng khá nh u Vi xá nh một tập á hế ộ n thiết tri n khai Se trong một tình huống ụ th l hứ n ng ủ mi n thự thi Xét v mặt ứng dụng, Se thự h t l một gi o thứ hoạt ộng song song với nhằm ung p 2 hứ n ng ơ bản m nguy n thuỷ hƣ ó, ó l mã hoá v xá thự gói dữ li u ột á h khái quát ó th xem Se l một tổ hợp gồm h i th nh ph n: -Giao thứ óng gói, gồm A v S - i o thứ tr o ổi khoá IKE (Internet Key Exchange) 2 Các dịch vụ của IPSec: Quản lý truy xu t ( ess ontrol) To n vẹn dữ li u ở hế ộ không kết nối ( onne tionless integrity) Xá thự nguồn gố dữ li u (d t origin uthenti tion ) hống phát lại ( nti-replay) ã hoá dữ li u (en ryption) ảo mật dòng lƣu lƣợng (tr ffi flow onfidenti lity) Vi ung p á d h vụ n y trong từng tình huống ụ th phụ thuộ v o gi o thứ óng gói ƣợ d ng l A h y S Theo ó nếu gi o thứ ƣợ h n l A thì á d h vụ mã hoá v bảo mật dòng dữ li u sẽ không ƣợ ung p ĐÓNG GÓI THÔNG TIN CỦA IPSEC II 1. Các kiểu sử dụng: i n tại Se ó h i hế ộ l m vi :Tr nsport ode v Tunel ode ả A v S u ó th l m vi với một trong h i hế ộ n y V : Ths V n Thi n o ng ti S
- 13 a. Kiểu Transport: Tr nsport mode ung p ơ hế bảo v ho dữ li u ủ á lớp o hơn (T , U hoặ ) Trong Tr nsport mode, ph n Se he der ƣợ hèn v o giữ ph n he der v ph n he der ủ gi o thứ t ng tr n, A v S sẽ ƣợ ặt s u he der nguy n thủy Vì vậy hỉ ó tải ( p ylo d) l ƣợ mã hó v he der b n u l ƣợ giữ nguy n vẹn Tr nsport mode ó th ƣợ dùng khi ả h i host hỗ trợ Se hế ộ tr nsport n y ó thuận lợi l hỉ th m v o v i bytes ho mỗi p kets v nó ũng ho phép á thiết b tr n mạng th y ƣợ hỉ í h uối ng ủ gói hả n ng n y ho phép á tá vụ xử lý ặ bi t tr n á mạng trung gi n dự tr n á thông tin trong he der Tuy nhi n á thông tin yer 4 sẽ b mã hó , l m giới hạn khả n ng ki m tr ủ gói V : Ths V n Thi n o ng ti S
- 14 Hình p ở ki u tr nsport Kiểu Tunnel: b. i u này bảo v toàn bộ gói IP. Gói IP ban u (bao gồm cả IP header) ƣợc xác thực hoặc mật mã. Sau ó, gói IP ã mã hóa ƣợc óng gói vào một IP header mới chỉ IP bên ngoài ƣợc sử dụng cho nh tuyến gói IP truy n qua Internet. Trong ki u Tunnel, toàn bộ gói IP ban u ƣợc óng gói và trở thành Payload củ gói IP mới Ki u này cho phép các thiết b mạng nhƣ router thực hi n xử lý IPSec thay cho các trạm cuối (host). III GIAO THỨC XÁC THỰC AH (Authentication Header) 1. Giới thiệu: AH cung c p xác thực nguồn gố dữ li u (data origin authentication), ki m tra tính toàn vẹn dữ li u (data integrity), và d h vụ chống phát lại (anti-replay ến ây, c n phải phân bi t ƣợc hai khái ni m toàn vẹn dữ li u và service). chống phát lại: toàn vẹn dữ li u là ki m tra những thay ổi củ từng gói tin IP, không quan tâm ến v trí các gói trong luồng lƣu lƣợng; còn d h vụ chống phát lại l ki m tra sự phát lặp lại một gói tin tới chỉ í h nhi u hơn một l n. AH cho phép xác thực các trƣờng củ IP header cũng nhƣ dữ li u của các giao thức lớp trên, tuy nhiên do một số trƣờng củ IP header thay ổi trong khi truy n và phía phát có th không dự oán trƣớc ƣợc giá tr củ chúng khi tới phía thu, do ó giá tr củ các trƣờng này không bảo v ƣợc bằng AH. Có th nói AH chỉ bảo v một ph n củ IP header mà thôi. AH không cung p b t cứ xử lý nào v bảo mật dữ li u của các lớp trên, t t cả u ƣợc truy n dƣới dạng v n bản rõ. AH V : Ths V n Thi n o ng ti S
- 15 nhanh hơn ESP, nên có th ch n AH trong trƣờng hợp chắc chắn v nguồn gố và tính toàn vẹn củ dữ li u nhƣng tính bảo mật dữ li u không n ƣợc chắc chắn. Giao thức AH cung c p chức n ng xác thực bằng cách thực hi n một hàm b m một chi u (one-way hash function) ối với dữ li u củ gói tạo ra một oạn mã xác thực (hash hay message digest). oạn mã ó ƣợc chèn vào thông tin củ gói truy n i hi ó, b t cứ thay ổi nào ối với nội dung củ gói trong quá trình truy n i u ƣợc phía thu phát hi n khi nó thực hi n cùng với một hàm b m một chi u ối với gói dữ li u thu ƣợ v ối chiếu nó với giá tr hash ã truy n i. Hàm b m ƣợc thực hi n trên to n bộ gói dữ li u, trừ một số trƣờng trong IP header có giá tr b thay ổi trong quá trình truy n mà phía thu không th dự oán trƣớc ƣợc (ví dụ trƣờng thời gian sống củ gói tin b các router thay ổi trên ƣờng truy n dẫn). 2. Cấu trúc gói AH: 0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit Payload Next header RESERVED length Security parameters index (SPI) Sequence number Authentication data (variable) Hình :gi o thứ A V : Ths V n Thi n o ng ti S
- 16 Ý nghĩa của từng phần: tiếp theo) Có ộ dài 8 bit nhận dạng loại dữ * Next Header (tiêu li u của ph n tải tin theo sau AH. Giá tr này ƣợc ch n lựa từ tập các số giao thức IP ã ƣợ nh nghĩ trong các RFC g n ây nh t. * Payload length ( ộ dài tải tin): Có ộ dài 8 bit và chứa ộ dài của tiêu AH ƣợc di n tả trong các từ 32 bit, trừ 2. Ví dụ trong trƣờng hợp của thuật toán toàn vẹn mà mang lại một giá tr xác minh 96 bit (3x32 bit), cộng với 3 từ 32 bit ã cố nh, trƣờng ộ dài này có giá tr là 4. Với IPv6, tổng ộ dài c ủ a t iê u phải là bội của các khối 8. * Reserved (dự trữ): Trƣờng 16 bit này dự trữ cho ứng dụng trong tƣơng lai * Security Parameters Index (SPI: chỉ dẫn thông số an ninh): Trƣờng này có ộ dài 32 bit, mang tính ch t bắt buộc. * Sequence Number (số thứ tự): ây là trƣờng 32 bit không ánh d u chứa một giá tr mà khi mỗi gói ƣợc gửi i thì t ng một l n Trƣờng này có tính bắt buộc. Bên gửi luôn luôn bao gồm trƣờng này ngay cả khi bên nhận không sử dụng d h vụ chống phát lại. Bộ ếm bên gửi và nhận ƣợc khởi tạo ban u là 0, gói u tiên có số thứ tự là 1. Nếu d h vụ chống phát lại ƣợc sử dụng, chỉ số này không th lặp lại, sẽ có một yêu u kết thúc phiên truy n thông và SA sẽ ƣợc thiết lập mới trở lại trƣớc khi truy n 2 32 gói mới. * Authentication Data (dữ li u nhận thực): Còn ƣợc g i là ICV (Integrity Check Value: giá tr ki m tra tính toàn vẹn) có ộ dài thay ổi, bằng số nguyên l n củ 32 bit ối với IPv4 và 64 bit ối với IPv6, và có th chứa m lp y cho ủ là bội số các bit nhƣ trên. ICV ƣợc tính toán sử dụng thuật toán nhận thực, bao gồm mã nhận thực bản tin (Message Authentication Code MACs). MACs ơn giản có th là thuật toán mã hóa MD5 hoặc SHA-1. Các khóa dùng cho mã hóa AH là các khóa xác thực bí mật ƣợc chia sẻ giữa các ph n truy n thông có th là một số ngẫu nhiên, không phải là một chuỗi có th oán trƣớc củ b t cứ loại nào. Tính toán ICV ƣợc thực hi n sử dụng gói tin mới ƣa vào. B t kì trƣờng có th biến ổi của IP header nào u ƣợc cài ặt bằng 0, dữ li u lớp trên ƣợc giả sử là không th biến ổi Mỗi bên tại u cuối IP-VPN tính toán ICV này ộ lập. Nếu ICV tính toán ƣợc ở phía thu và ICV ƣợc phía phát truy n ến khi so sánh với nhau mà không phù hợp thì gói tin b loại bỏ, bằng V : Ths V n Thi n o ng ti S
- 17 cách nhƣ vậy sẽ ảm bảo rằng gói tin không b giả mão. 1. Quá trình xử lý AH: Hoạt ộng của AH ƣợc thực hi n qua các bƣớc nhƣ sau: Bƣớc 1: Toàn bộ gói IP (bao gồm IP header và tải tin) ƣợc thực hi n qua một hàm b m một chi u. Bƣớc 2: Mã hash thu ƣợc dùng xây dựng một AH header, ƣa header này vào gói dữ li u ban u. Bƣớc 3: Gói dữ li u sau khi thêm AH header ƣợc truy n tới ối tác IPSec. Bƣớc 4: Bên thu thực hi n hàm b m với IP header và tải tin, kết quả thu ƣợ một mã hash. Bƣớc 5: Bên thu tách mã hash trong AH header. Bƣớ 6: Bên thu so sánh mã hash mà nó tính ƣợ mà mã hash tách ra từ AH header. Hai mã hash này phải hoàn toàn giống nhau. Nếu khác nhau hỉ một bit trong quá trình truy n thì 2 mã hash sẽ không giống nhau, bên thu lập tức phát hi n tính không toàn vẹn củ dữ li u. a. V trí ủ A : AH có hai ki u hoạt ộng, ó là ki u Transport và ki u Tunnel. Ki u Transport l ki u u tiên ƣợc sử dụng cho kết nối u cuối giữa các host hoặc các thiết b hoạt ộng nhƣ host v ki u Tunnel ƣợc sử dụng cho các ứng dụng còn lại. Ở ki u Transport cho phép bảo v các giao thức lớp trên, cùng với một số trƣờng trong IP header. Trong ki u này, AH ƣợc chèn vào sau IP header và trƣớc một giao thức lớp trên (chẳng hạn nhƣ TCP, UDP, ICMP…) và trƣớc các IPSec header ã ƣợc chen vào. ối với IPv4, AH ặt sau IP header và trƣớc giao thức lớp trên (ví dụ ở ây là TCP). ối với IPv6, AH ƣợc xem nhƣ ph n tải u cuối-tới - u cuối, nên sẽ xu t hi n sau các ph n header mở rộng hop-to-hop, routing và fragmentation. Các lựa ch n í h(dest options extension headers) có th trƣớc hoặc sau AH. V : Ths V n Thi n o ng ti S
- 18 Hinh: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport Hình : Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport Trong ki u Tunnel, inner IP header mang chỉ nguồn và í h cuối cùng, còn chỉ nh tuyến qua Internet. Trong ki u này, AH outer IP header mang bảo v to n bộ gói tin IP bên trong, bao gồm cả inner IP header (trong khi AH Transport chỉ bảo v một số trƣờng của IP header). So với outer IP header thì v trí củ AH giống nhƣ trong ki u Trasport. Hình: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel V : Ths V n Thi n o ng ti S
- 19 b. á thuật toán xá thự : Thuật toán xác thực sử dụng tính ICV ƣợc xác nh bởi kết hợp an ối với truy n thông i m tới i m, cá thuật ninh SA (Security Association) toán xác thực thích hợp bao gồm các hàm b m một chi u (MD5, SHA-1). ây chính là những thuật toán bắt buộ mà một ứng dụng AH phải hỗ trợ c.Xử lý gói ur : Trong ki u Transport, phía phát chèn AH header vào sau IP header và trƣớc một header của giao thức lớp trên. Trong ki u Tunnel, có thêm sự xu t hi n củ outer IP header. Quá trình xử lý gói tin u r nhƣ sau: - Tìm kiếm SA: AH ƣợc thực hi n trên gói tin u ra chỉ khi quá trình IPSec ã xác nh ƣợc gói tin ó ƣợc liên kết với một SA. SA ó sẽ yêu u AH xử lý gói tin Vi nh quá trình xử lý IPSec nào c n thực hi n trên lƣu xác lƣợng u ra có th xem trong RFC 2401. Tạo SN: bộ ếm phía phát ƣợc khởi tạo 0 khi một SA ƣợc + thiết lập. Phía phát t ng SN cho SA này và chèn giá tr SN ó vào trƣờng Sequence Number. Nếu d h vụ anti-replay (chống phát lại) ƣợc lựa ch n, phía phát ki m tra ảm bảo bộ ếm không b lặp lại trƣớc khi chèn một giá tr mới Nếu d h vụ anti-replay không ƣợc lựa ch n thì phía phát không c n giám sát ến, tuy nhiên nó vẫn ƣợc t ng cho ến khi quay trở lại 0. + Tính toán ICV: bằng cách sử dụng các thuật toán, phía thu sẽ tính toán lại ICV ở phía thu và so sánh nó với giá tr có trong AH quyết nh tới khả n ng tồn tại của gói tin ó. + Chèn dữ li u: có hai dạng chèn dữ li u trong AH, ó là chèn dữ li u xác thực (Authentication Data Padding) và chèn gói ng m nh (Implicit Packet Padding). ối với chèn dữ li u xác thực, nếu u ra củ thuật toán xác thực là bội số củ 96 bit thì không ƣợc chèn. Tuy nhiên nếu ICV có kích thƣớc khác thì vi c chèn thêm dữ li u là n thiết. ội dung của ph n dữ li u chèn là tùy ý, cũng có mặt trong phép tính ICV v ƣợc truy n i Chèn gói ng m nh ƣợc sử dụng khi thuật toán xác thực yêu c u tính ICV là số nguyên củ một khối b byte nào ó và nếu ộ dài gói IP không thỏ mãn i u ki n ó V : Ths V n Thi n o ng ti S
- 20 thì chèn gói ng m nh ƣợc thực hi n ở phía cuối của gói trƣớc khi tính ICV. Các byte chèn này có giá tr là 0 và không ƣợc truy n i cùng với gói. + Phân mảnh: khi c n thiết, phân mảnh sẽ ƣợc thực hi n sau khi ã xử lý AH. Vì vậy AH trong ki u transport chỉ ƣợc thực hi n trên toàn bộ gói IP, không thực hi n trên từng mảnh Nếu bản thân gói IP ã qua xử lý AH b phân mảnh trên ƣờng truy n thì ở phí thu phải ƣợc ghép lại trƣớc khi xử lý AH. Ở ki u Tunnel, AH có th thực hi n trên gói IP mà ph n tải tin là một gói IP phân mảnh V : Ths V n Thi n o ng ti S
CÓ THỂ BẠN MUỐN DOWNLOAD
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn