Giai đoạn hoạt động của IKE cũng tương tự như quá trình bắt tay trong TCP/IP. Quá trình hoạt động của IKE được chia ra làm hai pha chính: Pha 1 sẽ thiết lập một kênh truyền được chứng thực bằng cách sử dụng thuật toán trao đổi khóa DH. Pha 2 sẽ sử dụng kênh truyền đã được thiết lập để đàm phán các chính sách bảo mật SA IPSec.
Hình 3.10. Hai pha IKE 3.6.2.1. IKE pha 1
Pha này có mục đích cơ bản là thoả thuận các tập chính sách IKE, xác thực các đối tác, và thiết lập một kênh an toàn giữa các đối tác. Sau đó các thành phần truyền thông đàm phán một ISAKMP SA trao đổi lẫn nhau, bao gồm các thuật giải mã hóa, các hàm băm, và các phương pháp xác thực để mã hóa khóa. ISAKMP sử dụng kết hợp bảo mật SA được xác định trong pha này.
Sau khi cơ chế mã hóa và các hàm băm đã được thông qua ở trên, một khóa bí mật chia sẻ chung được tạo ra. Những thông tin được sử dụng để tạo khóa này bao gồm:
- Giá trị Diffie-Hellman
- Giá trị SPI của kết hợp bảo mật ISAKMP
- Các số ngẫu nhiên gọi là nonces (được sử dụng cho mục đích báo hiệu) Nếu hai thành phần đồng ý sử dụng một xác thực khóa công cộng, nó cũng cần phải trao đổi các ID của nhau. Sau khi trao đổi những thông tin cần thiết này, cả hai tạo ra tập hợp khóa sử dụng bí mật chung này. Khi đó, khóa mật mã được tạo ra mà không trao đổi thực tế bất kỳ khóa nào qua mạng.
9 Các tập chính sách IKE
Khi thiết lập một kết nối an toàn giữa host A và host B thông qua Internet, một đường hầm an toàn sẽ được thiết lập giữa Router A và Router B. Thông qua đường hầm, các giao thức mật mã, xác thực…được thoả thuận. Thay vì phải thoả thuận từng giao thức một, các giao thức được nhóm thành các tập (set) được gọi là tập chính sách IKE (IKE Policy set). Tập chính sách này gồm
- Thuật toán mã hóa : DES, 3DES hoặc AES - Thuật toán xác thực : MD5 hoặc SHA-1 - Phương thức xác thực: pre-shared key, RSA - Nhóm khóa Diffie-Hellman: 1,2,5 hoặc 7 - Thời gian kết nối tồn tại
Các tập chính sách IKE này được trao đổi trong IKE pha 1, chế độ chính. Nếu một chính sách thống nhất (matching policy) được tìm thấy ở hai phía thì chế độ chính tiếp tục. Nếu không tìm thấy thì đường hầm sẽ bị loại bỏ. Trong ứng dụng điểm- điểm, mỗi bên chỉ cần định nghĩa một tập chính sách IKE. Tuy nhiên ở mạng trung tâm có thể phải định nghĩa nhiều chính sách IKE.
9 Trao đổi khoá Differ-Hellman
Trao đổi khoá Differ-Hellman là một phương pháp mật mã khoá công khai cho phép hai bên thiết lập một khoá bí mật chung qua một môi trường truyền thông
không an toàn. Có 7 thuật toán hay nhóm DH được định nghĩa: DH group 1-7. Ví dụ nhóm 1 định nghĩa thuật toán MODP với một số nguyên tố 768 bit, còn nhóm 2 định nghĩa thuật toán MODP với một số nguyên tố 1024 bit.
Khi đã hoàn tất việc thoả thuận nhóm, khoá bí mật chung SKEYID sẽ được tính. SKEYID được sử dụng để tạo ra ba khoá khác: SKEYID_a( dùng cho quá trình xác thực), SKEYID_e (dùng cho quá trình mã hoá), còn SKEYID_d ( dùng để tạo khoá cho các kết hợp an ninh không theo giao thức ISAKMP.
9 Xác thực đối tác
Các thiết bị ở hai đầu đường hầm VPN phải được xác thực trước khi đường truyền thông được coi là an toàn. Trao đổi cuối cùng trong IKE pha 1 có mục đích là để xác thực các đối tác.
Hai phương pháp xác thực nguồn gốc chủ yếu là:
• Pre-shared key (khoá chia sẻ trước).
• RSA signatures (Các chữ kí RSA)- sử dụng việc trao đổi các chứng thực số (digital certificate) để xác thực các đối tác.
3.6.2.1. IKE pha 2
Trong khi đàm phán trong pha 1 là để thiết lập kết hợp bảo mật cho ISAKMP, pha 2 sẽ giải quyết những yêu cầu cần thiết của các kết hợp bảo mật cho IPSec. Trong pha này, các kết hợp bảo mật sử dụng các dịch vụ khác nhau cho việc đàm phán, các thông số an ninh IPSec được thoả thuận để bảo vệ đường hầm.
Đàm phán pha 2 diễn ra tuần tự hơn đàm phán pha 1. Điển hình là, một đàm
phán có thể lặp lại sau khoảng 4,5 phút. Việc hiệu chỉnh thường xuyên các khóa mật mã sẽ ngăn cản các hacker có thể phá khóa cũng như đột nhập vào nội dung của gói ban đầu.
IKE pha 2 thoả thuận một tập chuyển đổi IPSec chung (shared IPSec Transform), tạo các khoá bí mật chung sử dụng cho các thuật toán bảo mật IPSec và
thiết lập các IPSec SA. Chế độ Quick Mode được sử dung để thỏa thuận lại một kết hợp bảo mật mới khi SA cũ đã hết hạn.
9 Các tập chuyển đổi IPSec
Mục đích cuối cùng của IKE pha 2 là thiết lập một phiên IPSec an toàn giữa hai hệ thống. Trước khi thực hiện được điều đó, mỗi cặp điểm cuối phải thoả thuận mức an toàn cần thiết. Thay vì thoả thuận từng giao thức riêng lẻ, các giao thức được nhóm lại thành từng tập, chính là các tập chuyển đổi IPSec. Các tập này được trao đổi giữa hai bên trong chế độ Quick Mode. Nếu tìm thấy một tập chuyển đổi tương đương ở hai phía thì quá trình thiết lập phiên tiếp tục. Nếu không phiên đó sẽ bị loại bỏ. Các thuật toán mật mã, xác thực trong tập chuyển đổi thống nhất hình thành nên một kết hợp bảo mật (SA).
9 Thời hạn của một kết hợp bảo mật
Vấn đề tương đương với thời hạn sử dụng của một mật khẩu trong máy tính, thời hạn càng dài thì nguy cơ mất an toàn càng lớn. Các khoá và các SA cũng vậy,
để đảm bảo tính an toàn cao thì các khoá và các SA phải được thay đổi một cách (adsbygoogle = window.adsbygoogle || []).push({});
thường xuyên. Có hai thông số cần được xác định để thay đổi khoá và các SA: lifetime type (kiểu tính là theo số byte đã truyền hay thời gian) và duration (xác định đơn vị tính là KBs hay giây). Ví dụ lifetime là 10000KBs dữ liệu đã truyền đi hay 28800 s.
9 Đường hầm mật mã IPSec
Sau khi đã hoàn thành IKE pha 2và Quick Mode đã thiết lập các kết hợp an ninh IPSec SA, lưu lượng trao đổi giữa hai điểm đầu cuối thông qua một đường hầm an toàn. Lưu lượng được mật mã, giải mã sủ dụng các thuật toán xác định trong IPSec SA.
9 Kết thúc đường hầm
Các kết hợp bảo mật IPSec SA kết thúc khi bị xoá hay hết hạn. Khi các SA kết
thúc thì các khoá cũng bị loại bỏ. Lúc đó các SA mới cần được thiết lập, một KE pha 2 mới sẽ được thựuc hiện, và nếu cần thiết thì sẽ thoả thuận một IKE pha1 mới. Một thoả thuận thnàh công sẽ lại tạo ra các khoá và SA mới. Các SA mới được thiết lập trước khi các SA cũ hết hạn để đảm bảo tính liên tục của thông tin.