Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 17'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
+ Số nguyên tố lớn N + Số g phần tử nguyên thuỷ Z*N + Hàm f(x)= gX mod N với X số ngẫu nhiên thuộc Z*N A chọn gửi f(x) cho B - Bên B chọn ngẫu nhiên y thuộc Z*N tính f(y) = gY mod N gửi cho A Sau nhận giá trị f(x), bên B tính SB = f(x)Y mod N Còn A, sau nhận giá trị f(y) B, A tính: SA = f(y)X mod N - Dễ dàng chứng minh: SB = SA = S giá trị dùng làm khố chung bí mật mà có A B có - Cần chứng minh: SB = SA - Thật vậy: SB = f(x)Y mod N = (gX mod N)Y mod N = gXY mod N Mặt khác : SA= f(y)X mod N = (gY mod N)X mod N = gXY mod N= SB - Trao đổi khố bí mật trình bày gọi trao đổi khoá DiffieHellman - Như vậy, bên A B có khố chung bí mật S IP Header UDP Header ISAKMP Header gx Ni Hình 3.16 Message c Xác thực đối tác Trong trao đổi hai bên trao đổi thông tin nhận dạng thông qua chữ ký số Messeage gửi để nhận dạng IP Header UDP Header ISAKMP Header Identity Certificate Signature Hình 3.17 Message Các thơng tin nhận dạng trường sau: Identity, Certificate, Signature mã hóa giao thức, thuật tốn xác định bước trao đổi thức khố chung bí mật thiết lập bước trao đổi khố bí mật 3.2.4 Pha IKE thứ II Trong pha I thương lượng việc thiết lập SA cho ISAKMP Pha II giải việc thiết lập SA cho IPSec Trong pha này, SA sử dụng nhiều dịch vụ thương lượng Các chế xác thực, hàm băm, thuật toán mã hoá bảo vệ theo sau gói IPSec (dùng AH ESP) phần pha SA Pha II thương lượng xuất thường xuyên pha I Điển hình, thương lượng lặp lại 4-5 phút Sự thay đổi thường xuyên khoá mật mã nhằm ngăn chặn Hacker bẻ khố này, sau nội dung gói liệu gốc Oakley giao thức mà IKE dựa vào Oakley định nghĩa chế độ IKE thông dụng Thông thường phiên pha II tương đương phiên đơn pha I Tuy nhiên nhiều pha II trao đổi hỗ trợ trường hợp pha I Điều làm cho giao dịch IKE thường chậm trở nên tương đối nhanh IKE Phase thứ hai có tác dụng: - Thoả thuận tham số bảo mật IPSec, tập chuyển đổi IPSec (IPsec Transform Sets) để bảo vệ đường hầm IPSec - Thiết lập thoả thuận bảo mật IPSec SA - Định kỳ thoả thuận lại IPSec SA để đảm bảo tính an tồn đường hầm - Thực trao đổi Diffie-Hellman bổ sung (tạo khoá mới) Trước tiên, bên A gửi cho bên B Message, đề xuất SA để bên B lựa chọn, đồng thời trao đổi khoá thuật tốn DH Message đóng gói gói tin có khuôn dạng sau: IP Header UDP Header ISAKMP Header Hash SA Proposal Transform … Proposal Transform KE ID Hình 3.18 Message phase2 Trường Hash mang mã Hash trường phía sau trường mã hóa khố thuật tốn thoả thuận từ Phase thứ Các trường Proposal Transform mang thông tin giao thức thuật toán mã hoá, xác thực đề nghị để bên B lựa chọn Trường KE mang thông tin trao đổi khố bí mật theo thuật tốn Diffie-Hellman Khi bên B nhận message từ A xác thực sau tính lại mã Hash, bên B trả lời lại bên A message khác có cấu trúc tương tự message mà bên A gửi để thông báo cho bên A biết giao thức thuật tốn sử dụng, thơng tin để trao đổi khoá chung trường KE 3.2.5 Các chế độ IKE Bốn chế độ IKE: Main Mode Aggressive mode Quick mode New Group mode 3.2.5.1 Main Mode Main mode xác minh bảo vệ định danh nhóm có liên quan giao dịch Trong chế độ này, sáu thông điệp trao đổi thực thể truyền thông cuối Trong thông điệp này: Hai thông điệp dùng để thương lượng sách bảo mật cho việc trao đổi Hai thơng điệp dùng để trao đổi khoá Diffie-Hellman Nonce Các khố sau đóng vai trị quan trọng chế mã hoá Nonce phải đánh dấu nhóm ngược lại cho chức xác minh Hai thông điệp cuối chế độ dùng để xác thực nhóm truyền thơng có hỗ trợ chữ ký, hàm băm tuỳ chọn chứng Hình 3.40 mơ tả giao dịch chế độ IKE Main - Header: Một tiêu để ISAKMP tương ứng với chế độ dùng - SA: Kết hợp bảo mật thương lượng - Nonce: Một số ngẫu nhiên gửi cho việc ký số - KE: Dữ liệu trao đổi khóa với trao đổi khố Differ-Helman Hình 3.19 Trao đổi thơng điệp chế độ Main IKE 3.2.5.2 Aggressive mode - Header: Một tiêu để ISAKMP tương ứng với chế độ dùng - SA: Kết hợp bảo mật thương lượng - Nonce: Một số ngẫu nhiên gửi cho việc ký số - KE: Khoá trao đổi liệu cho trao đổi khoá Differ-Helman Hình 3.20 Mơ tả phiên giao dịch chế độ IKE Aggressive Được thiết lập tương tự Main mode Khác hai chế độ Main mode gồm sáu thơng điệp, cịn chế độ ba thông điệp trao đổi Kết chế độ nhanh Main mode Các thông điệp trao đổi chế độ sau: Thông điệp thứ dùng để hỗ trợ sách bảo mật, cho qua liệu cần thiết Thông điệp thứ hai hoạt động để đáp lại thơng điệp thứ Nó xác thực người nhận hồn thành sách bảo mật với khố Thơng điệp cuối chế độ dùng để xác thực người gửi 3.2.5.3 Quick Mode - Header: Một tiêu để ISAKMP tương ứng với chế độ dùng - SA: Kết hợp bảo mật thương lượng - Nonce: Một số ngẫu nhiên gửi cho việc ký số Hình 3.21 Trao đổi thơng điệp chế độ Quick IKE, thuộc pha thứ II Chế độ IKE thứ ba, Quick Mode chế độ pha II Nó dùng để thương lượng với SA dịch vụ bảo mật IPSEc Hơn nữa, Quick Mode tạo khố cần thiết Nếu sách bảo mật chuyển tiếp đầy đủ thảo luận trước pha I, q trình trao đổi khố Diffie-Hellman khởi tạo Trường hợp khác, khoá tạo việc dùng giá trị hàm băm Trao đổi thông điệp chế độ Quick mode mô tả hình 3.42 3.2.5.4 Chế độ New Group Chế độ dùng để thương lượng với nhóm riêng làm cho khả trao đổi khố Diffie-Hellman trở nên dễ dàng Hình 3.43 mơ tả chế độ New group Mặc dù chế độ xuất sau pha I, khơng phải phần pha II - Header: Một tiêu để ISAKMP tương ứng với chế độ dùng - SA: Kết hợp bảo mật thương lượng Hình 3.22 Trao đổi thơng điệp chế độ Newgroup IKE Thêm vào đó, bốn chế độ IKE thường thực thi, có chế độ truyền tin, chế độ kết hợp pha thứ hai SA, chế độ đề nhóm liên quan với số thơng tin bổ sung, thường liên quan tới lỗi thương lượng Ví dụ, việc giải mã bị lỗi người nhận chữ ký không xác thực thành công Chế độ truyền tin dùng để thơng báo tới bên khác 3.3 Q trình hoạt động IPSec Quá trình hoạt động IPSec thực sau: - Ban đầu lưu lượng cần bảo vệ cho IPSec, IKE Phase1 thoả thuận kết hợp bảo mật IKE SA, thiết lập kênh truyền thơng an tồn xác thực đối tác - IKE Phase thoả thuận thông số IPSec SA kênh an tồn vừa thiết lập Những thơng số sử dụng để thống việc bảo vệ liệu trao đổi hai bên Các khoá lưu trữ sở liệu SA ... dịch vụ bảo mật IPSEc Hơn nữa, Quick Mode tạo khố cần thiết Nếu sách bảo mật chuyển tiếp đầy đủ thảo luận trước pha I, q trình trao đổi khố Diffie-Hellman khởi tạo Trường hợp khác, khoá tạo việc... dụng: - Thoả thuận tham số bảo mật IPSec, tập chuyển đổi IPSec (IPsec Transform Sets) để bảo vệ đường hầm IPSec - Thiết lập thoả thuận bảo mật IPSec SA - Định kỳ thoả thuận lại IPSec SA để đảm bảo... mode - Header: Một tiêu để ISAKMP tương ứng với chế độ dùng - SA: Kết hợp bảo mật thương lượng - Nonce: Một số ngẫu nhiên gửi cho việc ký số - KE: Khoá trao đổi liệu cho trao đổi khoá Differ-Helman