IPSec cung cấp 3 phương thức xác thực: Certificate, Kerberos, Preshare key.
- Certificate
này để xin cấp giấy chứng nhận cho riêng mình có như vậy khi thông tin bị đánh cắp hay sửa đổi thì nhờ có CA Server sẽ xác thực tính tin cậy của dữ liệu nhận được cho người dùng biết. Qui trình này như sau:
CA Server sẽ lấy thông tin Public Key của người dùng nào đó gọi là CRC hay thông tin đặc trưng của người dùng đó.
Kế tiếp nó mã hóa CRC này với chính Private Q của nó cho ra một giá trị S và giá trị này được công khai. Như vậy lúc này mỗi tài khoản người dùng sẽ tồn tại 2 Public Key và một Private Key.
Hình 2.13: Mã hóa bằng khóa do CA cấp
Có như vậy khi B nhận được một thông tin từ A nó sẽ đem thông tin S của nó giải mã với P của CA Server và thu được CRC nào đó.
Nó sẽ lấy tiếp giá trị CRC vừa thu được đem so sánh với CRC của chính mình nếu trùng khớp thì cho qua. Ngược lại nó biết đây chính là nội dung không đáng tin cậy do bị sửa đổi từ trước.
Hình 2.14: Giải mã bằng private key do CA cấp - Kerberos
Giao thức Kerberos là một giao thức an toàn, và nó cung cấp xác thực lẫn nhau giữa một máy khách và máy chủ. Trong giao thức Kerberos, sự xác nhận của khách hàng đối với máy chủ và máy chủ xác thực chính nó đối với khách hàng. Với xác thực lẫn nhau, mỗi máy tính hoặc một người dùng và máy tính có thể xác minh căn cước của nhau. Kerberos là cực kỳ hiệu quả để xác thực khách hàng trong môi trường mạng doanh nghiệp lớn. Kerberos sử dụng mã hóa khóa bí mật cho lưu lượng truy cập xác thực của khách hàng.
Chìa khóa bí mật tương tự cũng được sử dụng bởi các giao thức Kerberos trên máy chủ để giải mã lưu lượng truy cập xác thực.
Giao thức Kerberos được xây dựng trên đầu trang của một bên thứ ba đáng tin cậy, gọi là Trung tâm phân phối khóa (KDC). Key Distribution Center (KDC) hoạt động như một máy chủ xác thực và cả hai như là một máy chủ cấp vé. Khi khách hàng cần truy cập một nguồn tài nguyên trên máy chủ, các thông tin người dùng (mật khẩu, thẻ thông minh) được trình bày cho Trung tâm phân phối khóa (KDC) để xác thực. Nếu các thông tin người dùng được xác minh thành công tại Trung tâm phân phối chính (KDC), Trung tâm phân phối chính (KDC) sẽ cấp Vé (TGT) cho khách hàng. Các vé được cấp này được lưu trữ trong máy địa phương để sử dụng trong tương lai. Các vé được cấp hết hạn khi người dùng ngắt kết nối hoặc log off mạng, hoặc sau khi nó hết hạn. Thời hạn sử dụng mặc định là một ngày (86.400 giây).
Hình 2.15: Quá trình xin key Kerberos qua DC
Khách hàng muốn truy cập một nguồn tài nguyên trên một máy chủ từ xa, khách hàng xuất trình đã được cấp và lưu trữ vé được cấp (TGT) để các KDC chứng thực. Các Trung tâm phân phối chính xác thực (KDC) trả về một vé phiên cho khách hàng để truy cập vào tài nguyên. Khách hàng trình bày các vé phiên với máy chủ tài nguyên từ xa. Các máy chủ từ xa cho phép phiên làm việc để được thành lập để tài nguyên sau khi chấp nhận vé phiên.
- Preshare key
Preshared có nghĩa là các bên đồng ý về một khóa chia sẻ bí mật, được sử dụng để xác thực trong một chính sách IPSec.
Trong quá trình đàm phán an ninh, thông tin được mã hóa trước khi truyền đi bằng cách sử dụng một khóa phiên. Các khóa phiên được tạo ra bằng cách sử dụng một tính toán Diffie-Hellman và chia sẻ khóa bí mật. Thông tin được giải mã ở đầu nhận được sử dụng cùng khóa. Một IPSec peer xác nhận gói dữ liệu đồng đẳng khác bằng cách giải mã và xác minh của băm bên trong các gói tin (các băm bên trong gói tin là một băm của khóa chia sẻ trước). Nếu xác thực không thành công, gói tin sẽ bị loại.
Việc sử dụng các chứng thực khóa chia sẻ trước là không nên bởi vì nó là một phương pháp xác thực tương đối yếu. Preshared chính xác thực tạo ra một khóa chủ đó là kém an toàn (có thể sản xuất một dạng yếu hơn của mã hóa) hơn so với chứng chỉ hoặc các giao thức Kerberos V5. Ngoài ra, các khóa chia sẻ trước được
lưu trữ thô trong Registry. Trong Active Directory, các khóa chia sẻ trước được lưu trữ trong định dạng thập lục phân có thể đọc được.
- Dữ liệu không bị loại bỏ
- Sự gián đoạn các dịch vụ mạng.
Khi nhận được gói tin, người nhận sẽ giải mã dữ liệu lại dạng cơ bản ban đầu. Cho dù dữ liệu có bị chặn trong suốt quá trình trao đổi dữ liệu.
Người gửi và người nhận, phụ thuộc vào quá trình mã hóa,dưới hình thức là một hệ thống mã hóa. Hệ thống mã hoá (Cryptosystems) có 2 loại sau :
• Đối xứng (Symmetric). • Bất đối xứng (Asymmetric).
Một hệ thống mã hóa được phân loại dựa vào con số của khoá mà nó dùng. Một khoá có thể là một con số, một từ, hoặc một cụm từ được dùng vào mục đích mã hóa và giải mã dữ liệu.