Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 14'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
IP Header AH Header Next Header PayloadLength Payload Reserved Security Parameter Index(SPI) Sequence Number Authentication Data (Integrity Check Value) - Reserved: Trường 16 bit dự trữ để sử dụng cho tương lai, giá trị trường - SPI: Là số 32 bit bất kì, với địa IP đích giao thức an ninh mạng cho phép nhận dạng thiết lập an toàn cho gói liệu SPI thường lựa chọn phía thu - Sequence Number(SN): Trường gồm 32 bit không dấu đếm tăng dần để sử dụng cho việc chống trùng lặp Chống trùng lặp lựa chọn trường bắt buộc phía phát Bộ đếm phía phát thu khởi tạo liên kết an toàn (SA) thiết lập, giá trị SN gói SA phải hồn tồn khác để tránh trùng lặp Nếu số gói vượt số 232 SA khác phải thiết lập - Authentication Data: Trường có độ dài biến đổi chứa giá trị kiểm tra tính tồn vẹn (ICV) cho gói tin, ICV tính thuật toán chọn thiết lập SA Độ dài trường số nguyên lần 32 bit, chứa phần liệu đệm để đảm bảo độ dài AH n*32 bit Giao thức AH sử dụng hàm băm băm tồn gói tin trừ trường Authentication Data để tính ICV Chế độ hoạt động AH sử dụng hai chế độ: Chế độ truyền tải (Transport) chế độ đường hầm(Tunnel) - Chế độ Transport: Chế độ Transport cho phép bảo vệ giao thức lớp với số trường IP Header Trong chế độ này, AH chèn vào sau IP Header trước giao thức lớp TCP UDP Chế độ Transport thường sử dụng Host không sử dụng Gateway Ưu điểm chế độ đỡ tốn chi phí xử lý có khuyết điểm trường thay đổi khơng xác thực IP Hdr Payload Gói tin IP ban đầu IP Hdr AH Payload Hdr Gói tin với tiêu đề AH chế độ transport Hình 3.5 Gói tin IP trước sau xử lý AH chế độ Transport - Chế độ Tunnel: Trong chế độ Tunnel, gói tin IP khác thiết lập dựa gói tin IP cũ Header gói IP cũ (bên trong) mang địa nguồn đích cuối cùng, cịn Header gói IP (bên ngồi) mang địa để định tuyến Internet Trong chế độ này, AH bảo vệ tồn gói tin bên bao gồm Header Đối với gói tin IP bên ngồi vị trí AH chế độ transport IP Hdr Payload Gói tin IP ban đầu OuterIP Hdr AH Inner IP Hdr Hdr Payload Gói tin AH chế độ Tunnel Hình 3.6: Khn dạng gói tin AH chế độ Tunnel Ưu điểm chế độ Tunnel bảo vệ tồn gói IP địa cá nhân IP Header, nhiên có nhược điểm tốn chi phí nhiều để xử lý gói tin Các thuật tốn xác thực Các thuật tốn xác thực để tính ICV xác định liên kết bảo mật (SA) Các thuật tốn xác thực thích hợp thuật tốn hàm băm chiều MD5 SHA1 (Các thuật toán bắt buộc ứng dụng AH phải hỗ trợ) MD5 chữ viết tắt Message Digest #5 Ron Rivest thuộc RSA Security Inc phát minh, tính giá trị Hash 128 bit từ tin nhị phân có độ dài tuỳ ý SHA phát triển NIST NSA, SHA-1 tính giá trị Hash 160 bit từ tin nhị phân có độ dài tuỳ ý SHA-1 tương tự MD5 an toàn kích thước băm lớn Xử lý gói đầu vào Q trình xử lý gói đầu vào thực ngược với q trình xử lý gói đầu - Ghép mảnh: Nếu cần thiết, tiến hành ghép mảnh trước xử lý AH - Tìm kiếm SA: Khi nhận gói tin chứa AH Header, phía thu xác định SA phù hợp với địa IP đích, AH SPI Thơng tin SA cho biết có cần kiểm tra trường Sequence Number(SN) hay khơng, có cần thêm trường Authentication Data hay khơng, thuật tốn khố để giải mã ICV Nếu khơng có SA phù hợp phía thu loại bỏ gói tin - Kiểm tra SN: Nếu bên thu khơng chọn dịch vụ chống lặp khơng cần kiểm tra trường SN Nếu phía thu có sử dụng dịch vụ chống lặp cho SA đếm gói thu phải khởi tạo = thiết lập SA Với gói tin vào phía thu tiếp nhận, kiểm tra có chứa số SN khơng lặp lại gói thời gian tồn SA Nếu bị lặp, gói tin bị loại bỏ Xử lý gói đầu - Tìm SA: AH thực gói tin xác định gói tin liên kết với SA, SA yêu cầu xử lý gói tin - Tạo SN: Bộ đếm phía phát khởi tạo giá trị SA thiết lập Khi truyền gói tin, đếm tăng lên chèn giá trị vào trường SN Nếu phía phát lựa chọn dịch vụ AntiReplay kiểm tra để đảm bảo không bị lặp trước chèn giá trị vào trường SN - Tính ICV: AH ICV tính dựa liệu sau: + Các trường IP Header có giá trị khơng đổi có giá trị khơng dự đốn q trình truyền tới điểm cuối + Bản thân AH Header: Next Header, Payload, Length, Reserved, SPI, SN, Authentication Data (được đặt 0), explicit padding (nếu có) + Dữ liệu giao thức lớp + Các trường có giá trị thay đổi coi phép tính ICV trường có giá trị thay đổi dự đốn giữ ngun giá trị - Padding: Có hai loại chèn padding Authenticaiton Data Implicit Packet Padding (chèn liệu ngầm định) + Authenticaiton Data Padding: Nếu đầu thuật toán xác thực 96 bit khơng cần chèn thêm liệu Nhưng ICV có kích thước khác phải chèn thêm, nội dung phần chèn thêm tuỳ chọn đặt sau Authentication Data + Implicit Packet Padding: Đối với số thuật tốn xác thực, chuỗi byte để tính ICV phải số nguyên lần khối n byte Nếu độ dài gói IP khơng thoả mãn điều kiện Implicit Packet Padding thêm vào phía cuối gói Các byte khơng truyền gói - Phân mảnh: Khi cần thiết, phân mảnh thực 3.1.3.1 Giao thức đóng gói tải bảo mật(ESP) Mục đích ESP cung cấp tin cậy thêm vào xác thực người gửi xác minh tính tồn vẹn liệu truyền ESP mã hoá nội dung gói liệu cách dùng thuật tốn mã hoá, xác định SA Một số thuật toán sử dụng ESP bao gồm: DES-CBG, NULL, CAST-128, IDEA 3DES Các thuật toán xác thực thường dùng tương tự AH HMAC-MD5 HMAC-SHA Như so sánh với AH, AH mang lại tính xác thực tồn vẹn liệu gói liệu IP ESP khơng bảo vệ tồn gói liệu Chỉ có payload bảo vệ, hình 3.7 Tuy nhiên, ESP mạnh nhóm mã hố Nó khơng chiếm dụng nhiều CPU Kết nhanh AH Nhưng 24 byte mà thêm vào gói liệu làm chậm xuống việc phân đoạn tính tốn thơng lượng IP H e a d e r E S P H eader P ayLo ad E S P T ile r E S P A u th e n tic a tio n Hình 3.7 Gói IP sau tiêu đề ESP Trailer ESP thêm vào Khng dạng gói liệu dựa ESP Khn dạng gói ESP phức tạp so với khn dạng AH, khơng gồm ESP header mà cịn ESP trailer ESP Authentication data Dữ liệu tải(Payload) định vị header trailer IP Hdr ESP Payload Hdr SecurityParameters Sequence Index (SPI) 32 Number 32 ESP ESP Trl Auth Pad Padding 0-255 Next 8 Bits Hình 3.8 Khuôn dạng ESP Các trường ESP bắt buộc: - SPI: Là số 32 bit bất kỳ, với địa IP đích giao thức an ninh, ESP cho phép nhận dạng SA cho gói liệu Các giá trị SPI từ đến 255 dành riêng để sử dụng tương lai Giá trị SPI = để chưa có SA tồn - SN: Giống AH, trường SN chứa giá trị đếm tăng dần để chống lặp lại Mỗi SA lựa chọn giá trị trường bắt đầu - Payload Data: Trường có độ dài biến đổi chứa liệu mô tả Next Header Payload Data trường bắt buộc, mã hoá thuật toán mã hoá, thuật toán mã hoá lựa chọn thiết lập SA Trường có độ dài số nguyên lần byte - Padding: Trường thêm vào để đoạn mã hoá số nguyên lần khối byte Ngoài trường dùng để che dấu độ dài thực Payload - Pad Length: Trường xác định số byte padding thêm vào (0 đến 225) - Next Header: Là trường bit bắt buộc, kiểu liệu Payload Data Ví dụ giao thức bậc cao TCP Giá trị trường chọn chuẩn IP Protocol Number đưa IANA - Authentication Data: Trường có độ dài biến đổi chứa giá trị ICV tính cho gói ESP từ SPI đến Next Header Authentication trường không bắt buộc, thêm vào dịch vụ Authentication lựa chọn cho SA ... SHA-1 tính giá trị Hash 160 bit từ tin nhị phân có độ dài tuỳ ý SHA-1 tương tự MD5 an toàn kích thước băm lớn Xử lý gói đầu vào Q trình xử lý gói đầu vào thực ngược với q trình xử lý gói đầu -. .. lặp, gói tin bị loại bỏ Xử lý gói đầu - Tìm SA: AH thực gói tin xác định gói tin liên kết với SA, SA yêu cầu xử lý gói tin - Tạo SN: Bộ đếm phía phát khởi tạo giá trị SA thiết lập Khi truyền gói... gồm: DES-CBG, NULL, CAST-128, IDEA 3DES Các thuật toán xác thực thường dùng tương tự AH HMAC-MD5 HMAC-SHA Như so sánh với AH, AH mang lại tính xác thực tồn vẹn liệu gói liệu IP ESP khơng bảo vệ