1. Trang chủ
  2. » Công Nghệ Thông Tin

Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 17 pps

7 338 3

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 7
Dung lượng 401,6 KB

Nội dung

IP Header UDP Header ISAKMP Header Identity Certificate Signature Hình 3.17 Message 3 Các thông tin nhận dạng là các trường sau: Identity, Certificate, Signature đã được mã hóa bằng cá

Trang 1

+ Số nguyên tố lớn N

+ Số g là một phần tử nguyên thuỷ của Z*N

+ Hàm f(x)= gX mod N với X là số ngẫu nhiên thuộc Z*N do A chọn và gửi f(x) cho B

- Bên B chọn ngẫu nhiên y thuộc Z*N và tính f(y) = gY mod N rồi gửi cho A Sau khi nhận được giá trị f(x), bên B tính SB = f(x)Y mod N Còn A, sau khi nhận được giá trị f(y) của B, A tính: SA = f(y)X mod N

- Dễ dàng chứng minh: SB =SA =S và do đó giá trị này được dùng làm khoá chung bí mật mà chỉ có A và B mới có được

- Cần chứng minh: SB = SA

- Thật vậy: SB = f(x)Y mod N = (gX mod N)Y mod N = gXY mod N

Mặt khác : SA= f(y)X mod N = (gY mod N)X mod N = gXY mod N= SB

- Trao đổi khoá bí mật trình bày ở trên được gọi là trao đổi khoá Diffie-Hellman

- Như vậy, bên A và B đều có khoá chung bí mật là S

IP Header UDP Header ISAKMP Header g x Ni

Hình 3.16 Message 2

c Xác thực đối tác

Trong trao đổi này hai bên trao đổi các thông tin nhận dạng của nhau thông qua chữ ký số Messeage 3 được gửi để nhận dạng

IP Header UDP Header ISAKMP Header Identity Certificate Signature

Hình 3.17 Message 3

Các thông tin nhận dạng là các trường sau: Identity, Certificate, Signature đã được mã hóa bằng các giao thức, thuật toán được xác định tại bước trao đổi thức nhất và các khoá chung bí mật đã được thiết lập ở bước trao đổi khoá bí mật

3.2.4 Pha IKE thứ II

Trang 2

Trong khi pha I thương lượng việc thiết lập SA cho ISAKMP Pha II giải quyết việc thiết lập SA cho IPSec Trong pha này, SA được sử dụng bởi nhiều dịch

vụ đã được thương lượng Các cơ chế xác thực, hàm băm, thuật toán mã hoá được bảo vệ theo sau các gói IPSec (dùng AH và ESP) như là một phần của pha SA Pha II thương lượng xuất hiện thường xuyên hơn pha I Điển hình, một thương lượng có thể lặp lại trong 4-5 phút Sự thay đổi thường xuyên này của khoá mật mã nhằm ngăn chặn Hacker có thể bẻ các khoá này, và sau đó là nội dung của các gói dữ liệu gốc

Oakley là một giao thức mà IKE dựa vào Oakley lần lượt định nghĩa 4 chế độ IKE thông dụng

Thông thường một phiên trong pha II tương đương một phiên đơn trong pha I Tuy nhiên nhiều pha II trao đổi cũng có thể được hỗ trợ bởi một trường hợp pha I Điều này làm cho các giao dịch IKE thường rất chậm trở nên tương đối nhanh hơn IKE Phase thứ hai có tác dụng:

- Thoả thuận các tham số bảo mật IPSec, các tập chuyển đổi IPSec (IPsec Transform Sets) để bảo vệ đường hầm IPSec

- Thiết lập các thoả thuận bảo mật IPSec SA

- Định kỳ thoả thuận lại IPSec SA để đảm bảo tính an toàn của đường hầm

- Thực hiện trao đổi Diffie-Hellman bổ sung (tạo ra các khoá mới)

Trước tiên, bên A gửi cho bên B một Message, đề xuất các SA để bên B lựa chọn, đồng thời trao đổi một khoá bằng thuật toán DH Message được đóng gói trong gói tin có khuôn dạng như sau:

IP

Header

UDP

Header

ISAKMP

Hình 3.18 Message 1 của phase2

Trường Hash mang mã Hash của các trường phía sau nó và các trường này cũng được mã hóa bằng các khoá và thuật toán được thoả thuận từ Phase thứ nhất Các trường Proposal và Transform mang các thông tin về giao thức và các thuật

Trang 3

toán mã hoá, xác thực đề nghị để bên B lựa chọn Trường KE mang các thông tin

về trao đổi khoá bí mật theo thuật toán Diffie-Hellman

Khi bên B nhận được message từ A và xác thực nó sau khi tính lại mã Hash, bên B sẽ trả lời lại bên A một message khác có cấu trúc tương tự như message mà bên A gửi để thông báo cho bên A biết về giao thức và các thuật toán được sử dụng, các thông tin để trao đổi khoá chung ở trường KE

3.2.5 Các chế độ IKE

Bốn chế độ IKE: Main Mode Aggressive mode Quick mode New Group mode

3.2.5.1 Main Mode

Main mode xác minh và bảo vệ các định danh của các nhóm có liên quan trong giao dịch Trong chế độ này, sáu thông điệp được trao đổi giữa các thực thể truyền thông cuối Trong các thông điệp này:

Hai thông điệp đầu tiên được dùng để thương lượng chính sách bảo mật cho việc trao đổi

Hai thông điệp tiếp theo được dùng để trao đổi khoá Diffie-Hellman và Nonce Các khoá sau này đóng một vai trò quan trọng trong các cơ chế mã hoá Nonce phải được đánh dấu bởi các nhóm ngược lại cho chức năng xác minh

Hai thông điệp cuối cùng của chế độ này được dùng để xác thực các nhóm truyền thông có sự hỗ trợ của chữ ký, hàm băm và tuỳ chọn chứng chỉ Hình 3.40

mô tả một giao dịch trong chế độ IKE Main

- Header: Một tiêu để ISAKMP tương ứng với chế độ được dùng

- SA: Kết hợp bảo mật được thương lượng

- Nonce: Một số ngẫu nhiên gửi cho việc ký số

- KE: Dữ liệu trao đổi khóa với trao đổi khoá Differ-Helman

Trang 4

Hình 3.19 Trao đổi thông điệp trong chế độ Main IKE

Trang 5

3.2.5.2 Aggressive mode

Hình 3.20 Mô tả một phiên giao dịch trong chế độ IKE Aggressive

Được thiết lập tương tự như Main mode Khác nhau giữa hai chế độ chỉ là trong Main mode gồm sáu thông điệp, còn trong chế độ này chỉ ba thông điệp được trao đổi Kết quả là chế độ này nhanh hơn Main mode Các thông điệp được trao đổi trong chế độ này như sau:

Thông điệp thứ nhất được dùng để hỗ trợ một chính sách bảo mật, cho đi qua dữ liệu cần thiết

Thông điệp thứ hai hoạt động như để đáp lại thông điệp thứ nhất Nó xác thực người nhận và hoàn thành chính sách bảo mật cùng với các khoá

Thông điệp cuối cùng của chế độ này được dùng để xác thực người gửi

3.2.5.3 Quick Mode

- Header: Một tiêu để ISAKMP tương ứng với chế độ được dùng

- SA: Kết hợp bảo mật được thương lượng

- Nonce: Một số ngẫu nhiên gửi cho việc ký số

- KE: Khoá trao đổi dữ liệu cho trao đổi khoá Differ-Helman

- Header: Một tiêu để ISAKMP tương ứng với chế độ được dùng

- SA: Kết hợp bảo mật được thương lượng

- Nonce: Một số ngẫu nhiên gửi cho việc ký số

Trang 6

Hình 3.21 Trao đổi thông điệp trong chế độ Quick IKE, thuộc pha thứ II

Chế độ IKE thứ ba, Quick Mode là một chế độ pha II Nó được dùng để thương lượng với SA về các dịch vụ bảo mật IPSEc Hơn nữa, Quick Mode cũng tạo ra các khoá mới cần thiết Nếu chính sách bảo mật chuyển tiếp đầy đủ được thảo luận trước pha I, một quá trình trao đổi khoá Diffie-Hellman được khởi tạo Trường hợp khác, các khoá mới được tạo bằng việc dùng các giá trị hàm băm Trao đổi thông điệp trong chế độ Quick mode được mô tả như trong hình 3.42

3.2.5.4 Chế độ New Group

Chế độ này được dùng để thương lượng với một nhóm riêng mới làm cho khả năng trao đổi khoá Diffie-Hellman trở nên dễ dàng Hình 3.43 mô tả chế độ New group Mặc dù chế độ này xuất hiện sau pha I, nhưng nó không phải là một phần của pha II

Hình 3.22 Trao đổi thông điệp trong chế độ Newgroup IKE

Thêm vào đó, trong bốn chế độ IKE thường được thực thi, có chế độ truyền tin, chế độ này là sự kết hợp bởi pha thứ hai và SA, chế độ này đề ra các nhóm liên quan với một số thông tin được bổ sung, và thường liên quan tới các lỗi trong thương lượng Ví dụ, nếu việc giải mã bị lỗi tại người nhận hoặc chữ ký không được xác thực thành công Chế độ truyền tin được dùng để thông báo tới các bên khác

3.3 Quá trình hoạt động của IPSec

Quá trình hoạt động của IPSec được thực hiện như sau:

- Ban đầu các lưu lượng cần bảo vệ được chỉ ra cho IPSec, tiếp theo IKE Phase1 sẽ thoả thuận một kết hợp bảo mật IKE SA, thiết lập một kênh truyền thông

an toàn và xác thực đối tác

- Header: Một tiêu để ISAKMP tương ứng với chế độ được dùng

- SA: Kết hợp bảo mật được thương lượng

Trang 7

- IKE Phase 2 sẽ thoả thuận các thông số của IPSec SA trên kênh an toàn vừa được thiết lập Những thông số này được sử dụng để thống nhất việc bảo vệ dữ liệu trao đổi giữa hai bên Các khoá được lưu trữ trong cơ sở dữ liệu SA

Ngày đăng: 08/07/2014, 15:21

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w