GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 5

GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 5

2.3.2 Nguyên tắc hoạt động của ESP

ESP Header được mô tả trong RFC 4303, cung cấp mã hóa bảo mật và toàn vẹn dữ liệu trên mỗi điểm kết nối IPv6. ESP là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn của dữ liệu. Khác với AH, ESP cung cấp khả năng bí mật của thông tin thông qua việc mã hóa gói tin ở lớp IP, tất cả các lưu lượng ESP đều được mã hóa giữa 2 hệ thống, do đó xu hướng sử dụng ESP nhiều hơn AH trong tương lai để làm tăng tính an toàn cho dữ liệu. Sau khi đóng gói xong bằng ESP, mọi thông tin và mã hoá và giải mã sẽ nằm trong ESP Header.  Các thuật toán mã hoá sử dụng trong giao thức như : DES, 3DES, AES. Định dạng của ESP Header như sau:

Hình 14: Định dạng mào đầu IPsec ESP

  • Định dạng ESP: ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin.
    • SPI (Security Parameters Index): Trường này tương tự như bên AH
    • SN (Sequence Number):  Trường này tương tự như bên AH
    • Payload Data: Trường này có độ dài biến đổi chứa dữ liệu mô tả bên trong Next Header. Đây là trường bắt buộc và có độ dài là số nguyên lần bytes
    • Padding: Trường này được thêm vào bởi nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (plaintext) thì padding được sử dụng để điền vào plaintext (bao gồm các trường Payload Data, Pad Length, Next Header và Padding) để có kích thước theo yêu cầu.
    • IVC: Giá trị kiểm tra tính toàn vẹn, là trường có độ dài thay đổi được tính trên các trường ESP trailer, Payload, ESP header. Thực chất các trường ESP trailer đã bao gồm kiểm tra tính toàn vẹn (IVC).
  • Gói tin IPv6 ESP ở chế độ Transport:

Hình 15: Mào đầu được mã hóa trong chế độ IPv6 ESP Transport( Phần màu nâu đậm là phần dữ liệu được mã hóa).

  • Gói tin IPv6 ESP ở chế độ Tunnel:

Hình 16: Mào đầu được mã hóa trong chế độ IPv6 ESP Tunnel( Phần màu nâu sậm là phần dữ liệu được mã hóa).

  • Nguyên tắc hoạt động:

Về nguyên tắc hoạt động thì ESP sử dụng mật mã đối xứng để cung cấp sự mật hoá dữ liệu cho các gói tin IPSec. Cho nên, để kết nối của cả hai đầu cuối đều được bảo vệ bởi mã hoá ESP thì hai bên phải sử dụng key giống nhau mới mã hoá và giải mã được gói tin .  Khi một đầu cuối mã hoá dữ liệu, nó sẽ chia dữ liệu thành các khối (block) nhỏ, và sau đó thực hiện thao tác mã hoá nhiều lần sử dụng các block dữ liệu và khóa (key). Khi một đầu cuối khác nhận được dữ liệu mã hoá, nó thực hiện giải mã sử dụng key giống nhau và quá trình thực hiện tương tự, nhưng trong bước này ngược với thao tác mã hoá.

 Hình 17: Nguyên tắc hoạt động của ESP Header.

  • So sánh giữa AH và ESP
Tính bảo mật AH ESP
Giao thức IP lớp 3 51 50
Toàn vẹn dữ liệu
Xác thực dữ liệu
Mã hóa dữ liệu Không
Chống tấn công phát lại
Hoạt động với NAT Không
Hoạt động với PAT Không Không
Bảo vệ gói tin IP Không
Chỉ bảo vệ dữ liệu Không

2.3.4 Quản lý khóa

Để áp dụng hai mào đầu AH và ESP yêu cầu các bên tham gia phải thỏa thuận một khóa chung để sử dụng trong việc kiểm tra an toàn thông tin.

  • Quản lý khóa thủ công: IPv6 yêu cầu tất cả các thao tác đều có thể cho phép thiết lập thủ công khóa bí mật. Công nghệ cấu hình bằng tay được cho phép trong IPSec chuẩn và có thể được chấp nhận để cấu hình một hay hai gateway nhưng việc gõ key bằng tay không thích hợp trong một số trường hợp số lượng các gateway nhiều và cũng gây ra các vấn đề không an toàn trong quá trình tạo khóa.
  • Quản lý khóa tự động:
  • Internet Key Exchange (IKE) cung cấp key một cách tự động, quản lý SA hai chiều, tạo key và quản lý key. IKE thương thuyết trong hai giai đoạn.
    • Giai đoạn 1: thương thuyết bảo mật, kênh chứng thực mà dựa trên đó hệ thống có thể thương thuyết nhiều giao thức khác. Chúng đồng ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực và nhóm Diffie-Hellman để trao đổi key và thông tin.
    • Giai đoạn 2: xác định dịch vụ được sử dụng bởi IPSec. Chúng đồng ý giao thức IPSec, thuật toán hash, và thuật toán mã hoá. Một SA được tạo ra cho inbound và outbound của mỗi giao thức được sử dụng.

3. Kết luận

IPv6Sec là một trong những tính năng ưu việt nổi bật của IPv6. Nó giúp phần làm tăng cường tính an toàn an ninh thông tin khi trao đổi, giao dịch trên mạng Internet. IPv6sec cũng được lựa chọn là giao thức bảo mật sử dụng trong mạng riêng ảo và thích hợp trong việc đảm bảo kết nối bảo mật từ đầu cuối tới đầu cuối.

GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 1

GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 2

GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 3

GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 – PHẦN 4

Nguồn: VNNIC

About the Author

Leave a Reply