GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 4

GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 4

2.3 Nguyên tắc hoạt động của các giao thức bảo mật trong địa chỉ IPv6

2.3.1 Nguyên tắc hoạt động của AH

AH được mô tả trong RFC 4302, là một IPSec header cung cấp xác thực gói tin và kiểm tra tính toàn vẹn.  AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói tin IP truyền giữa 2 hệ thống. Nó là phương tiện để kiểm tra xem dữ liệu có bị thay đổi trong khi truyền hay không. Tuy nhiên các dữ liệu đều truyền dưới dạng bản Plaintext vì AH không cung cấp khả năng mã hóa dữ liệu.

Hình 9: Định dạng mào đầu IPsec AH

Định dạng của AH 

  • Next Header: Trường này có độ dài 8 bits để xác định mào đầu tiếp theo sau AH. Giá trị của trường này được lựa chọn từ các tập các giá trị IP Protocol Numbers định nghĩa bởi IANA- Internet Assigned Numbers Authority (xem chi tiết Hình 4)
  • Payload Length: Trường này có độ dài 8 bits để xác định độ dài của AH không có tải. 
  • Reserved: Trường này có độ dài 16 bits dành để dự trữ cho việc sử dụng trong tương lai. Giá trị của trường này được thiết lập bằng 0 bởi bên gửi và sẽ được loại bỏ bởi bên nhận.
  • SPI (Security Parameters index): Đây là một số 32 bits bất kì, cùng với địa chỉ đích và giao thức an ninh ESP cho phép nhận dạng duy nhất chính sách liên kết bảo mật SA (xác định giao thức IPSec và các thuật toán nào được dùng để áp dụng cho gói tin) cho gói dữ liệu này. Các giá trị SPI 1-255 được dành riêng để sử dụng trong tương lai. SPI thường được lựa chọn bởi phía thu khi thiết lập SA.    
  • Sequence Number : Trường này có độ dài 32 bits, chứa một giá trị đếm tăng dần (SN), đây là trường không bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào đó. Việc thực hiện SN tùy thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này, còn phía thu có thể không cần phải xử lí nó. Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (Gói đầu tiên truyền đi với SA đó sẽ có SN=1)
  • Authentication Data:   Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn vẹn ICV (Integrity Check Value) cho gói tin, có độ dài là số nguyên lần 32 bits. Trường này có thể chứa thêm một phần dữ liệu đệm để đảm bảo độ dài của AH header là số nguyên lần 32 bít (đối với IPV4) hoặc 64 bít (đối với IPV6).

Chế độ xác thực:

  • Xác thực từ đầu cuối đến đầu cuối (End-to-End Authentication): là trường hợp xác thực trực tiếp giữa hai hệ thống đầu cuối (giữa máy chủ với trạm làm việc hoặc giữa hai trạm làm việc), việc xác thực này có thể diễn ra trên cùng mạng nội bộ hoặc giữa hai mạng khác nhau, chỉ cần hai đầu cuối biết được khoá bí mật của nhau. Trường hợp này sử dụng chế độ vận chuyển (Transport Mode) của AH.
  • Xác thực từ đầu cuối đến trung gian (End-to-Intermediate Authentication): là trường hợp xác thực giữa hệ thống đầu cuối với một thiết bị trung gian (router hoặc firewall). Trường hợp này sử dụng chế độ đường hầm (Tunnel Mode) của AH.

Hình 10: Hai chế độ xác thực của AH

 Gói tin IPv6 AH ở chế độ Transport:

Hình 11 :Mào đầu được xác thực trong chế độ IPv6 AH Transport( Phần màu nâu đậm là phần dữ liệu được xác thực)

Gói tin IPv6 AH ở chế độ Tunnel:

Hình 12: Mào đầu được xác thực trong chế độ IPv6 AH Tunnel( Phần màu nâu đậm là phần dữ liệu được xác thực).

  • Nguyên tắc hoạt động của AH bao gồm 4 bước:

B1: AH sẽ đem gói dữ liệu (packet ) bao gồm : Payload + IP Header + Key cho chạy qua giải thuật Hash 1 chiều và cho ra 1 chuỗi số. và chuỗi số này sẽ được gán vào AH Header.

B2: AH Header này sẽ được chèn vào giữa Payload và IP Header và chuyển sang phía bên kia.

B3: Router đích sau khi nhận được gói tin này bao gồm : IP Header + AH Header + Payload sẽ được cho qua giải thuật Hash một lần nữa để cho ra một chuỗi số.

B4: so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó chấp nhận gói tin .

Hình 13: Mô tả AH xác thực và đảm bảo tính toàn vẹn dữ liệu

GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 1

GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 2

GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 3

Nguồn: VNNIC

About the Author

Leave a Reply