MỤC LỤC 1 16.1 Tổng quan về bảo mật IP (IP Security) Để đáp lại những vấn đề này, Internet Architecture Board bao gồm sự chứng thực và sự mã hóa như các tính năng bảo mật cần thiết trong thế hệ IP tiếp theo, đã được ban hành như IPv6. May mắn thay, các khả năng bảo mật này được thiết kế để sử dụng cho cả IPv4 và IPv6. Điều này có nghĩa là các nhà cung cấp có thể bắt đầu cung cấp những tính năng này ngay bây giờ, và bây giờ nhiều nhà cung cấp đã có vài IPSec trong những sản phẩm của họ. 16.1.1 Các ứng dụng của IPSec IPSec cung cấp khả năng để đảm bảo thông tin liên lạc trong mạng LAN, thông qua các mạng diện rộng cá nhân và công cộng, và thông qua Internet. Các ví dụ về việc sử dụng của nó bao gồm những nội dung sau đây: - Bảo mật cho các chi nhánh văn phòng kết nối trên Internet: Một công ty có thể xây dựng một mạng riêng ảo để bảo mật trên Internet hoặc trên một mạng WAN công cộng. Điều này cho phép một doanh nghiệp phải dựa rất nhiều vào Internet và làm giảm nhu cầu của mình cho các mạng cá nhân, tiết kiệm chi phí và quản lý mạng. - Bảo mật truy cập từ xa qua Internet: Một người dùng cuối có hệ thống trang bị với các giao thức bảo mật IP có thể thực hiện ở một gọi địa phương tới nhà cung cấp dịch vụ Internet (ISP) và có thể truy cập an toàn đến một mạng công ty. Điều này làm giảm chí phí cho công ty. - Thiết lập mạng nội bộ và mạng bên ngoài kết nối với các đối tác: IPSec có thể được sử dụng để đảm bảo thông tin liên lạc với các tổ chức khác nhau, bảo đảm và bảo mật chứng thực, cung cấp một cơ chế trao đổi khóa. - Tăng cường bảo mật thương mại điện tử: Dù cho một số ứng dụng thương mại web và ứng dụng thương mại điện tử đã được xây dựng trong các giao thức bảo mật, việc sử dụng IPSec sẽ tăng cường độ bảo mật của nó. Các tính năng chính của IPSec cho phép nó hỗ trợ các ứng dụng khác nhau và nó có thể mã hóa và/hoặc chứng thực tất cả lưu lượng ở mức IP.Vì vậy, tất cả các ứng dụng được phân tán, bao gồm đăng nhập từ xa, khách/chủ, thư điện tử, chuyển tập tin, truy cập Web, và như vậy, có thể được bảo đảm. Hình 16.1 là một kịch bản điển hình của việc sử dụng IPSec. Một tổ chức duy trì mạng LANs tại các địa điểm phân tán. Giao thông không đảm bảo của IP được thực hiện trên mỗi LAN. Đối với giao thông ngoại vi, thông qua một số loại WAN tư nhân hoặc 2 công cộng, các giao thức IPSec được sử dụng. Các giao thức này hoạt động trong các thiết bị mạng, chẳng hạn như một bộ định tuyến hay tường lửa, nó kết nối mỗi mạng LAN với thế giới bên ngoài. Các thiết bị mạng IPSec thường sẽ mã hóa và nén tất cả lưu lượng đi vào mạng WAN, giải mã và giải nén lưu lượng truy cập đến từ WAN, các hoạt động này thì trong suốt cho cả máy trạm và máy chủ trên mạng LAN. Việc truyền an toàn cũng có thể với cả người dùng cá nhân người mà quay số vào trong WAN. Vì vậy máy trạm này phải thực hiện các giao thức IPSec để cung cấp bảo mật. 16.1.2 Các ưu điểm của IPSec [MARK97] liệt kê danh sách các ưu điểm của IPSec: - Khi IPSec được thực hiện trong một bức tường lửa hay bộ định tuyến, nó cung cấp sự bảo mật mạnh mẽ mà có thể được áp dụng đến tất cả lưu lượng thông qua chu vi. Giao thông trong một công ty hay nhóm làm việc không phải trả các chi phí xử lý liên quan đến bảo mật. - IPSec trong một tường lửa được dùng để ngăn chặn được bỏ qua nếu tất cả lưu lượng truy cập từ bên ngoài phải sử dụng IP, và tường lửa là phương tiện duy nhất của lối vào từ internet vào trong tổ chức. - IPSec là lớp dưới của tầng vận chuyển (TCP, UDP) và trong suốt đối với các ứng dụng. Không cần phải thay đổi phần mềm trên hệ thống người dùng hoặc máy chủ khi IPSec được thực hiện trong các bức tường lửa hay bộ định tuyến. Ngay cả khi IPSec 3 được thực hiện trong các hệ thống cuối, lớp trên của phần mềm, bao gồm các ứng dụng, không bị ảnh hưởng. - IPSec có thể được trong suốt cho người dùng cuối. Không cần phải đào tạo người dùng trên cơ chế bảo mật, phát khóa cho mỗi người dùng, hoặc thu hồi khóa khi người dùng rời khỏi tổ chức. - IPSec có thể cung cấp tính bảo mật cho người dùng cá nhân nếu cần. Điều này rất hữu ích cho những người làm việc bên ngoài, và cho việc thiết lập một mạng con ảo bảo mật trong một tổ chức cho các ứng dụng nhảy cảm. 16.1.3 Những ứng dụng của IPSec trong việc định tuyến Ngoài việc hỗ trợ người dùng cuối và bảo vệ hệ thống và mạng, IPSec còn đóng một vai trò quan trọng trong kiến trúc định tuyến cần thiết cho liên mạng. [HUIT98] liệt kê một danh sách ví dụ về việc sử dụng IPSec. IPSec có thể đảm bảo rằng: - Một quảng bá của bộ định tuyến (một bộ định tuyến mới quảng bá sự hiện diện của nó) xuất phát từ một bộ định tuyến có thẩm quyền. - Một quảng bá hàng xóm (một bộ định tuyến tìm cách thiết lập hoặc duy trì một mối quan hệ hàng xóm với một bộ định tuyến trong một miền định tuyến) đến từ một bộ định tuyến có thẩm quyền. - Một thông báo chuyển đến từ các bộ định tuyến mà các gói tin ban đầu đã được gửi. - Một bản cập nhật định tuyến không phải giả mạo. Nếu không có biện pháp bảo mật như vậy, một địch thủ có thể làm gián đoạn thông tin liên lạc hoặc chuyển hướng một số giao thông. Các giao thức định tuyến như OSPF nên được chạy thường trực trên các thỏa hiệp bảo mật giữa các bộ định tuyến được định nghĩa bởi IPSec. 16.2 Cấu trúc của IPSec Các đặc điểm kỹ thuật của IPSec đã trở nên khá phức tạp. Để có được một cảm nhận về kiến trúc tổng thể, chúng ta bắt đầu xem các định nghĩa IPSec. Sau đó, chúng ta thảo luận các dịch vụ của IPSec và giới thiệu các khái niệm của Thỏa hiệp bảo mật. 16.2.1 Những tài liệu về IPSec Các đặc điểm kỹ thuật của IPSec bao gồm nhiều tài liệu. Quan trọng nhất trong số này, được phát hành trong tháng 10 năm 1998 là RFC 2401, 2402, 2406 và 2408. 4 o RFC 2401: Tổng quan về cấu trúc một kiến trúc bảo mật. o RFC 2402: Mô tả của một phần mở rộng xác thực gói tin cho IPv4 và IPv6. o RFC 2406: Mô tả của một phần mở rộng mã hóa gói tin cho IPv4 và IPv6. o RFC 2408: Đặc điểm kỹ thuật của các khả năng quản lý khóa. Hỗ trợ của các tính năng này là bắt buộc đối với IPv6 và tùy chọn cho IPv4. Trong cả hai trường hợp, các tính năng bảo mật được thực hiện như các phần đầu mở rộng đi theo các phần đầu IP chính. Phần đầu mở rộng cho việc chứng thực được biết đến như là phần đầu xác thực, mà việc mã hóa được gọi là phần đầu Encapsulating Security Payload (ESP). Ngoài 4 RFC, một số dự thảo bổ sung đã được công bố bởi IP Security Protocol Working Group được thành lập bởi IETF. Các tài liệu được chia thành 7 nhóm, như mô tả trong hình 16.2 (RFC 2401): - Kiến trúc: Bao gồm các khái niệm chung, yêu cầu bảo mật, định nghĩa, và các cơ chế xác định công nghệ IPSec. - Encapsulating Security Payload (ESP): Bao gồm các định dạng gói dữ liệu và các vấn đề chung liên quan đến việc sử dụng ESP cho mã hóa gói dữ liệu và tùy chọn chứng thực. - Authentication Header (AH): Bao gồm các định dạng gói dữ liệu và các vấn đề chung liên quan đến việc sử dụng của AH cho việc xác thực gói tin. - Thuật toán mã hóa: Một tập hợp các tài liệu mô tả cách thức các thuật toán mã hóa khác nhau được sử dụng cho ESP. - Thuật toán xác thực: Một tập hợp các tài liệu mô tả cách thức các thuật toán xác thực khác nhau được sử dụng cho AH và cho các tùy chọn xác thực của ESP. - Quản lý khóa: Tài liệu mô tả đề án quản lý khóa. - Domain of Interpretation (DOI): Chứa giá trị cần thiết cho các tài liệu khác nhau có liên quan đến nhau. Chúng bao gồm định danh cho các thuật toán mã hóa được phê duyệt và xác thực, cũng như các thông số hoạt động như chính thời gian sống của khóa. 5 16.2.2 Các dịch vụ của IPSec IPSec cung cấp dịch vụ bảo mật tại tầng IP bằng cách cho phép một hệ thống được lựa chọn những giao thức bảo mật cần thiết, xác định các thuật toán để sử dụng cho các dịch vụ này, và đưa ra bất kỳ các khóa mật mã yêu cầu để cung cấp cho các dịch vụ yêu cầu. Hai giao thức được sử dụng để cung cấp bảo mật: một giao thức xác thực được chỉ định bởi các phần đầu của giao thức, Authentication Header (AH); và một sự kết hợp của việc mã hóa/chứng thực giao thức được chỉ định bởi các định dạng của các gói cho giao thức đó, Encapsulating Security Payload (ESP). Các dịch vụ: o Điều khiển truy cập o Kết nối không toàn vẹn o Xác thực nguồn gốc dữ liệu o Từ chối các gói phát lại (một hình thức toàn vẹn trình tự một phần) o Bảo mật (mã hóa) o Giới hạn lưu lượng luồng được bảo mật. Bảng 16.1 cho thấy các dịch vụ được cung cấp bởi các giao thức AH và ESP. Đối 6 với ESP, có 2 trường hợp: có và không có tùy chọn xác thực. Cả AH và ESP được vận chuyển để kiểm soát truy cập, dựa trên việc phân phối các khóa mật mã và quản lý các luồng giao thông tương đối so với các giao thức bảo mật. 16.2.3 Các thỏa hiệp bảo mật Một quan điểm quan trọng xuất hiện trong cả hai cơ chế xác thực và bảo mật cho IP là những liên kết bảo mật (SA).Một liên kết là một mối quan hệ một chiều giữa người gửi và người nhận được đảm bảo rằng dịch vụ bảo mật dành cho giao thông qua việc thực hiện dịch vụ đó. Nếu một mối quan hệ ngang hàng là cần thiết, để trao đổi an toàn hai chiều, thì hai kết nối bảo mật được yêu cầu. Dịch vụ bảo mật dành cho một SA cho việc sử dụng của AH hoặc ESP, nhưng không phải cả hai. Một kết nối bảo mật được xác định duy nhất bởi ba tham số: o Chỉ mục tham số bảo mật (SPI): Một chuỗi bit được được gán đến SA này và chỉ có ý nghĩa cục bộ. SPI này được thực hiện trong các phần đầu AH và ESP để cho phép hệ thống tiếp nhận chọn SA sau cái mà một gói tin nhận được sẽ được xử lý. o Địa chỉ IP đích: Hiện tại, chỉ có những địa chỉ unicast thì được cho phép; đây là những địa chỉ của các thiết bị đầu cuối đích của SA, có thể là một hệ thống người dùng cuối hay một hệ thống mạng như một bức tường lửa hoặc thiết bị định tuyến. o Nhận dạng giao thức bảo mật: Điều này chỉ ra rằng kết nối bảo mật là kết nối AH hay là ESP. 7 Do đó, trong bất kỳ gói IP nào, 1 các kết nối bảo mật thì được xác định duy nhất bởi các địa chỉ đích trong phần đầu của IPv4 hoặc IPv6 và SPI trong phần đầu mở rộng kèm theo (AH hoặc ESP). 16.2.4 Những tham số của SA Trong mỗi thể hiện của IPSec, có một danh nghĩa 2 bảo mật kết nối cơ sở dữ liệu mà được xác định bởi những tham số liên kết với mỗi SA. Một liên kết an toàn thường được xác định bởi các tham số sau đây: - Số thứ tự truy cập: Một giá trị 32 bit được sử dụng để tạo ra các chuỗi số trong phần đầu AH hoặc ESP, được mô tả trong mục 16.3 (bắt buộc cho tất cả các thực hiện). - Trình tự truy cập quá tải: Một cờ cho biết khi nào sự quá tải của số thứ tự truy cập sẽ tạo ra một sự kiện tin cậy được, và ngăn chặn sự truyền thêm các gói tin trên SA (bắt buộc cho tất cả các thực hiện). - Chống lặp lại cửa sổ: Được sử dụng để xác định một gói tin AH hay ESP có được lặp lại không giới hạn hay không, được mô tả trong mục 16.3 (bắt buộc cho tất cả các thực hiện). - Thông tin AH: Xác thực thuật toán, các khóa, thời gian sống của khóa, và các thông số được sử dụng với AH (cần thiết cho việc triển khai AH). - Thông tin ESP: Thuật toán mã hóa và xác thực, khóa, các giá trị khởi tạo, thời gian sống của khóa, và các thông số liên quan tới việc sử dụng với ESP (cần thiết cho việc triển khai ESP). - Thời gian sống của liên kết bảo mật này: Một khoảng thời gian hoặc số đếm byte sau đó một SA phải được thay thế bằng một SA mới (và SPI mới) hoặc kết thúc, cộng với dấu hiệu cho thấy một trong số những hành động này xuất hiện (bắt buộc cho tất cả các thực hiện). - Giao thức IPSec Mode: Đường hầm, vận chuyển, hoặc ký tự đại diện (bắt buộc cho tất cả các thực hiện). Các chế độ này sẽ được thảo luận trong phần này sau. - Đường dẫn MTU: Kích thước của một đơn vị gói tin truyền dẫn (kích thước tối đa của một gói tin có thể được truyền mà không có sự phân mảnh) và các biến lão hóa (bắt 1Trong chương này, giới hạn của gói IP tham chiếu đến một hoặc mô hình IPv4 hoặc gói IPv6. 2Danh nghĩa theo nghĩa là các chức năng được cung cấp bởi các liên kết bảo mật cơ sở dữ liệu phải có mặt trong bất kỳ thực hiện IPSec, nhưng cách thức mà các chức năng được cung cấp đến người thực hiện. 8 buộc cho tất cả các thực hiện). Cơ chế quản lý khóa được sử dụng để phân phối các khóa thì chỉ được nối với các cơ chế xác thực và bảo mật bằng cách sử dụng các thông số chỉ mục bảo mật. Do đó, xác thực và bảo mật đã được quy định độc lập cho bất kỳ cơ chể quản lý cụ thể. 16.2.5 Các chọn lựa của SA IPSec cung cấp cho người sử dụng sự linh hoạt đáng kể trong cách thức mà các dịch vụ IPSec được áp dụng cho giao thông IP. Như sau này chúng ta sẽ thấy, SA có thể được kết hợp trong một số cách để mang lại cấu hình mà người sử dụng mong muốn. Hơn nữa, IPSec cung cấp một mức độ chi tiết cao trong việc phân biệt độ ưu tiên giữa các lưu lượng được dành để IPSec bảo vệ và lưu lượng được phép bỏ qua IPSec, trong trường hợp lưu lượng IP trước đây liên quan đến SA cụ thể. Các phương pháp mà giao thông IP có liên quan đến SA cụ thể (hoặc không có SA trong trường hợp giao thông được phép bỏ qua IPSec) là danh nghĩa chính sách bảo mật cơ sở dữ liệu (SPD). Trong hình thức đơn giản nhất của nó, một SPD chứa các mục, mỗi mục định nghĩa một tập hợp con của giao thông IP và các điểm đến một SA cho giao thông đó. Trong những môi trường phức tạp hơn, có thể có nhiều mục mà khả năng liên kết đến một SA hoặc nhiều SA kết hợp với một mục SPD duy nhất. Người đọc được gọi là các tài liệu IPSec liên quan cho một cuộc thảo luận đầy đủ. Mỗi mục SPD được xác định bởi một tập hợp các IP và các giá trị của những giao thức ở lớp trên, được gọi là bộ chọn. Trong thực tế, các bộ chọn được sử dụng để lọc lưu lượng ra để lập bản đồ SA cụ thể. Xử lý bên ngoài tuân theo trình tự sau đây nói chung cho mỗi gói tin IP: 1. So sánh các giá trị của các trường thích hợp trong gói tin (các trường chọn) đối với SPD để tìm một mục SPD phù hợp, cái mà sẽ chỉ đến 0 hoặc SA. 2. Xác định SA nếu có gói tin này và SPI liên quan của nó. 3. Xử lý IPSec được yêu cầu (tức là, AH hoặc xử lý ESP). Các bộ chọn sau đây xác định một mục SPD: - Địa chỉ IP đích: Đây có thể là một địa chỉ IP đơn, một danh sách liệt kê hoặc dải địa chỉ, hoặc ký tự đại diện (mặt nạ) cho một địa chỉ. Thứ hai là cần thiết để hỗ trợ nhiều hơn một hệ thống đích chia sẻ cùng SA (ví dụ, sau tường lửa). - Địa chỉ IP nguồn: Đây có thể là một địa chỉ IP đơn, một danh sách liệt kê hoặc dải địa chỉ, hoặc ký tự đại diện (mặt nạ) cho một địa chỉ. Thứ hai là cần thiết để hỗ trợ nhiều 9 hơn một hệ thống mã nguồn chia sẻ cùng SA (ví dụ, sau tường lửa). - UserID: Dấu hiệu xác định người sử dụng từ hệ điều hành. Đây không phải là một trường trong IP hoặc các phần đầu ở tầng trên, nhưng có sẵn nếu IPSec đang chạy trên hệ điều hành tương tự như người sử dụng. - Cấp độ nhạy của dữ liệu: được sử dụng cho các hệ thống cung cấp bảo mật luồng thông tin (ví dụ, bí mật và không phân loại). - Giao thực lớp vận chuyển: thu được từ các giao thức IPv4 hoặc trường Next Header của IPv6. Nó có thể là một số giao thức cá nhân, một danh sách các số giao thức, hay một loạt các số giao thức. - Những cổng nguồn và đích: Đây có thể là các giá trị của cổng TCP hoặc UDP cá nhân, một danh sách liệt kê của các cổng, hoặc một ký tự đại diện của cổng. 16.2.6 Chế độ vận chuyển và đường hầm Cả AH và ESP đều hỗ trợ hai chế độ sử dụng: chế độ vận chuyển và chế độ đường hầm. Hoạt động của cả hai chế độ này được hiểu tốt nhất trong bối cảnh của một mô tả AH và ESP, được mô tả tương ứng trong mục 16.3 và 16.4. Ở đây chúng tôi chỉ cung cấp một tổng thể ngắn gọn. 16.2.6.1 Chế độ vận chuyển Chế độ vận chuyển cung cấp sự bảo vệ chủ yếu cho các giao thức ở lớp trên. Đó là, bảo vệ hình thức vận chuyển kéo dài đến tải trọng của một gói IP. Ví dụ như một phân đoạn TCP hoặc UDP hoặc một gói ICMP, tất cả các hoạt động trực tiếp trên giao thức IP trong một máy chủ lưu trữ. Thông thường, chế độ vận chuyển được sử dụng cho truyền thông đầu cuối giữa hai máy chủ (ví dụ, một khách hàng và một máy chủ, hoặc hai máy trạm). Khi một máy chủ chạy AH hoặc ESP trên IPv4, tải trọng là các dữ liệu thông thường theo các phần đầu của IP. Đối với IPv6, tải trọng là các dữ liệu thông thường theo cả hai phần đầu IP và bất kỳ phần đầu mở rộng IPv6 mà có hiện nay, ngoại trừ có thể có các phần đầu lựa chọn đích đến, có thể được bao gồm trong sự bảo vệ. ESP trong chế độ mã hóa vận chuyển, và tùy chọn xác thực tải trọng IP nhưng không có phần đầu IP. AH trong chế độ chứng thực vận chuyển tải trọng IP và phần lựa chọn của phần đầu IP. 16.2.6.2 Chế độ đường hầm Chế độ đường hầm cung cấp sự bảo vệ cho toàn bộ gói tin IP. Để đạt được điều này, sau khi trường AH hoặc ESP được thêm vào gói tin IP, toàn bộ gói cộng với trường bảo mật được xem là tải trọng của gói IP mới “bên ngoài” với một phần đầu IP mới bên 10 [...]... của phần đầu IP và phần đầu mở trong (phần đầu cộng với tải trọng rộng IPv6 của IP bên trong) cộng với phần lựa chọn phần đầu của IP bên ngoài và phần đầu mở rộng IPv6 bên ngoài Mã hóa tải trọng của IP và bất kỳ Mã hóa toàn bộ gói tin IP bên phần đầu mở rộng IPv6 sau phần đầu trong ESP 11 ESP với Mã hóa tải trọng của IP và bất kỳ Mã hóa toàn bộ gói tin IP bên chứng thực phần đầu mở rộng Ipv6 sau phần... Việc xem xét là hơi khác nhau cho IPv4 và IPv6 Hình 16.6 a cho thấy các gói IPv4 và IPv6 điển hình Trong trường hợp này, trọng tải IP là một phân đoạn TCP, nó cũng có thể là một đơn vị dữ liệu cho bất kỳ giao thức khác có sử dụng IP, chẳng hạn như UDP hoặc ICMP Đối với phương thức chuyển đổi sử dụng AH IPv4, AH được chèn sau khi phần đầu IP ban đầu và trước trọng tải IP (ví dụ, một phân đoạn TCP); điều... muốn Một lần nữa, chứng thực bao gồm toàn bộ gói, trừ các trường mutable được thiết lập để không cho MAC tính Đối với AH chế độ đường hầm, toàn bộ gói IP ban đầu được xác thực, và AH được chèn vào giữa phần đầu IP gốc và phần đầu IP mới ngoài (Hình 16.6 c) Các IP trong phần đầu mang địa chỉ nguồn và đích đến cuối cùng, trong khi một IP phần đầu ngoài có thể chứa địa chỉ IP khác nhau (ví dụ, địa chỉ... bảo mật khác) Với chế độ đường hầm, toàn bộ bên trong gói tin IP, bao gồm toàn bộ phần đầu phần đầu IP bên trong được bảo vệ bởi AH Các phần đầu IP bên ngoài (và trong trường hợp của IPv6, các phần đầu IP mở rộng bên ngoài) được bảo vệ trừ trường thay đổi và không thể đoán trước 16.7 Đóng gói độ bảo mật Các ESP cung cấp dịch vụ bảo mật, bao gồm cả bí mật của nội dung tin nhắn và lưu lượng vận chuyển... tra phần đầu IP bên ngoài Tại tường lửa của mạng B, phần đầu IP bên ngoài được gỡ bỏ, và các gói dữ liệu bên trong được chuyển về cho B ESP trong chế độ mã hóa đường hầm và tùy chọn xác nhận toàn bộ gói tin IP trong, bao gồm phần đầu IP trong AH trong chế độ đường hầm xác nhận toàn bộ gói tin IP trong và phần lựa chọn phần đầu IP ngoài Bảng 16.2 tóm tắt các chức năng của chế độ vận chuyển và chế độ đường... lý IPSec Nếu gói tin này từ A sang B đòi hỏi IPSec, bức tường lửa thực hiện xử lý IPSec và đóng gói với một phần đầu IP bên ngoài Địa chỉ IP nguồn của gói tin IP bên ngoài này là bức tường lửa này, và địa chỉ đích có thể là một bức tường lửa mà các hình thức biên giới với mạng cục bộ B Gói tin này hiện đang chuyển đến tường lửa của mạng B, với các bộ định tuyến trung gian chỉ kiểm tra phần đầu IP bên... vậy hai bên phải chia sẻ một khóa bí mật Phần đầu chứng thực bao gồm các lĩnh vực sau đây (Hình 16.3 ): • Phần đầu tiếp theo (8 bit): Xác định phiên bản phần đầu • Chi u dài tải trọng (8 bit): Chi u dài của AH là 32-bit, trừ đi 2 Ví dụ, chi u dài của 1 trường dữ liệu là 96 bit, hoặc ba từ có 32-bit Với một bộ 3 từ trong phần đầu, có tổng cộng sáu từ trong phần đầu, và trường tải trọng chi u dài có giá... các trọng tải IP Các gói dữ liệu kết quả bao gồm một phần đầu IP (và có thể mở rộng phần đầu IPv6) theo sau bởi một ESP AH sau đó được áp dụng trong chế độ truyền tải, để xác thực bao gồm các ESP cộng với các phần đầu IP gốc (và phần mở rộng), trừ các trường không cố định Ưu điểm của phương pháp này đơn giản hơn bằng cách sử dụng một ESP đơn SA với các tùy chọn xác thực ESP là chứng thực bao gồm nhiều... thực và mã hóa áp dụng đối với các trọng tải IP giao cho máy chủ nhưng các phần đầu IP không được bảo vệ • Chế độ đường hầm ESP: Xác thực áp dụng cho toàn bộ các gói tin IP gửi đến địa chỉ IP đích đến bên ngoài (ví dụ, một bức tường lửa), và chứng thực được thực hiện tại điểm đích đó Toàn bộ bên trong gói tin IP được bảo vệ bởi cơ chế bảo mật, để giao cho IP đích trong Trong cả hai trường hợp, chứng... được hiển thị ở phần trên của hình 16.6 b Chứng thực bao gồm toàn bộ gói, trừ các trường thay đổi trong phần đầu IPv4 được thiết lập về 0 cho MAC tính 16.6 Phạm vi xác thực AH 16 Trong bối cảnh của IPv6, AH được xem như là một tải trọng đầu cuối, có nghĩa là nó không phải được kiểm tra hoặc xử lý bởi các router trung gian Do đó, AH sẽ xuất hiện sau phần đầu cơ bản IPv6 và hop-by-hop, định tuyến, và . LỤC 1 16. 1 Tổng quan về bảo mật IP (IP Security) Để đáp lại những vấn đề này, Internet Architecture Board bao gồm sự chứng thực và sự mã hóa như các tính năng bảo mật cần thiết trong thế hệ IP tiếp. thiết phải xử lý IPSec. Nếu gói tin này từ A sang B đòi hỏi IPSec, bức tường lửa thực hiện xử lý IPSec và đóng gói với một phần đầu IP bên ngoài. Địa chỉ IP nguồn của gói tin IP bên ngoài này. chọn xác nhận toàn bộ gói tin IP trong, bao gồm phần đầu IP trong. AH trong chế độ đường hầm xác nhận toàn bộ gói tin IP trong và phần lựa chọn phần đầu IP ngoài. Bảng 16. 2 tóm tắt các chức năng