Các giao thức của IPSec + Giao thức xác thực tiêu đề

Một phần của tài liệu Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa checkpoint (Trang 44 - 46)

+ Giao thức xác thực tiêu đề (AH)

Giao thức xác thực tiêu đề thêm một tiêu đề vào gĩi IP. Tiêu đề này

phục vụ

cho việc xác thực gĩi dữ liệu IP gốc tại người nhận cuối cùng, tiêu đề này

giúp nhận

biết bất kỳ sự thay đổi nào về nội dung của gĩi dữ liệu bởi người dùng khơng mong

muốn trong khi đang truyền, tuy nhiên AH khơng đảm bảo tính tin cậy.

Đe tạo một AH, một giá trị mã thơng điệp cần xác thực qua hàm băm (HAMC) được tạo tại người gửi. Giá trị băm này được tạo trên cơ sở của SA, cái

xác định trình tự giao dịch sẽ được áp dụng cho gĩi dừ liệu. Mã kết quả được gắn

kèm vào gĩi dừ liệu sau tiêu đề IP gốc. Tại người nhận cuối, HAMC được giải mã

dụng

tường lửa Checkpoint

IP Header AH Header Payload

Next HeaderPayloadLength Reserved Secuiity Parameter Index(SPI)

Sequence Number Authentication

Data (Integrity Check

Hình 31.Khuơn dạng gĩi tin AH

- Next Header: nhận biết giao thức bảo mật, cĩ độ dài 8 bít để xác định

kiểu dữ liệu

của phần Payload phía sau AH. Giá trị của trường này được chọn tù-

các giá trị của

IP Protocol number được định nghĩa bởi IANA (Internet Assigned Numbers

Authority).

- Payload Length: Truờng này chỉ định độ dài của thơng điệp gắn sau tiêu đề AH.

- Reserved: Trường 16 bit dự trữ đê sử dụng cho tưong lai, giá trị của

trường này

băng 0.

- SPI: Là một số 32 bit bất kì, cùng với địa chỉ ĨP đích và giao thức an

ninh mạng

cho phép nhận dạng một thiết lập an tồn duy nhất cho gĩi dữ liệu. SPI

thường được

lựa chọn bởi phía thu.

Báo cáo NCKH - Khoa An Tồn Thơng Tin - Học Viện Kỹ Thuật Mật Mã 53

dụng

tường lửa Checkpoint 2. Chế độ hoạt động

AH cĩ thể sử dụng ở hai chế độ: Chế độ truyền tải (Transport) và chế độ

đường hầm(Tunnel).

- Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao thức lĩp trên cùng

với một số trường trong ĨP Header. Trong chế độ này, AH được chèn vào sau IP

Hình 32. Gĩi tin IP trước và sau khi xử ỉỷ AH trung chế độ Transport

- Chế độ Tunnel: Trong chế độ Tunnel, một gĩi tin IP khác được thiết lập dựa trên

các gĩi tin IP cũ. Header của gĩi IP cũ (bên trong) mang địa chỉ nguồn và đích cuối

IP Hdr Pavload

Gĩi tin IP ban đàu

Gỏi tin AH trong chê độ Tunnel

Hình 33. Khuơn dạng gĩi tin AH trong chế độ Tunneì.

Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng

tường lửa Checkpoint

Ưu điểm của chế độ Tunnel là bảo vệ tồn bộ gĩi IP và các địa chỉ cá nhân

trong IP Headcr, tuy nhiên cĩ nhược điểm là tốn chi phí hon nhiều đế xử lý

các gĩi

tin.

Một phần của tài liệu Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa checkpoint (Trang 44 - 46)

Tải bản đầy đủ (DOC)

(117 trang)
w