Thuật toán Diffie-Hellman cho phép hai bên trao đổi với nhau một khóa bí mật chung. Các bước thực hiện như sau:
Bảng 4.4. Các bước thực hiện để trao đổi khóa Diffie Hellman
Bên A Mạng Bên B
Đồng ý với bên B về sử dụng số nguyên lớn ban đầu: P
→ ← Đồng ý với bên A về sử dụng số nguyên lớn ban đầu: P Đồng ý về số nguyên làm nhiệm
vụ tạo khóa: G
→ ← Đồng ý về số nguyên làm nhiệm vụ tạo khóa: G
Chọn lọc số bí mật: A → ← Chọn lọc số bí mật: B
Tính số công cộng: X=GAmod P Tính số công cộng: Y=GBmod P
Gửi số X tới bên B X→
←Y
Gửi số X tới bên B
Bây giờ đã biết: P, G, A, X, Y Bây giờ đã biết: P, G, B, X, Y
Tính KA=YAmod P Tính KB=XBmod P
Bây giờ đã có khóa bảo mật chia sẻ: KA=KB=K
Bây giờ đã có khóa bảo mật chia sẻ: KA=KB=K
Chứng minh:
KA=(GBmod P)Amod P
Chứng minh:
KA=(GB)Amod P KA=GBAmod P KA KB=(GA)Bmod P KB=GAB mod P KB
Ví dụ về trao đổi khóa Diffie-Hellman như sau: hai bên A và B thống nhất với nhau số nguyên tố P=31 và một số nguyên G=3.
Tại A: chọn A=8→ X=38mod 31 = 20. X=20 này được gửi đến B. Tại B: chọn B=6→ Y=36mod 31 = 16. Y=16 này được gửi đến A. Tính khóa bí mật K:
Tại A: KA=168mod 31 = 4 Tại B: KB=206mod 31 = 4
⇒ Hai bên chọn khóa bí mật là KA=KB=K=8 cho quá trình mật mã và giải mã thông tin.
4.3. Tổng kết
Chương này nói về một số thuật toán được áp dụng để đảm bảo an toàn dữ liệu cho IP-VPN dựa trên IPSec. Đối với vấn đề an toàn dữ liệu có 2 vấn đề chính đó là mật mã dữ liệu và xác thực dữ liệu. Đối với mật mã dữ liệu, tồn tại hai thuật toán là khóa đối xứng và khóa công khai. Ở đây đã trình bày chi tiết về thuật toán khóa đối xứng DES và cơ sở lí thuyết của thuật toán khóa công khai. Ngoài ra, chương này còn trình bày về trao đổi khóa Diffie- Hellman. Đối với xác thực dữ liệu có hai vấn đề trọng tâm là xác thực nguồn gốc dữ liệu và xác thực tính toàn vẹn của dữ liệu: thuật toán MD5/SHA-1để đảm bảo vấn đề toàn vẹn dữ liệ; giới thiệu các phương pháp xác thực và chứng thực số để xác định nguồn gốc dữ liệu
Chương 5. Thực hiện IP-VPN
5.1. Giới thiệu
Các chương trước đã trình bày về những kỹ thuật cơ bản của IP-VPN bao gồm các giao thức đường ngầm, thuật toán mật mã và xác thực. Các kỹ thuật này hiện đã được giải quyết tích hợp sẵn trong các sản phẩm của nhiều hãng trên thế giới. Do hiện nay chưa có một chuẩn thống nhất cho việc sản xuất các thiết bị VPN, nên vấn đề đặt ra là sự tương thích giữa các sản phẩm của các hãng khác nhau. Người sử dụng cần phải được đảm bảo rằng thiết bị mà họ mua có thể làm việc tốt với các thiết bị khác trong mạng. Để giải quyết vấn đề này, từ năm 2000 VPNC (Virtual Private Network Consortium) đã tổ chức kiểm tra và cấp chứng chỉ cho các sản phẩm IP-VPN đạt yêu cầu về tính tương thích (VPNC Testing for Interoperability and Conformance). Sau đây là danh sách một số sản phẩm đã qua kiểm tra của VPNC:
- ADTRAN, NetVanta.
- Alcatel, Secure VPN Gateway 7130 series. - Check Point Software, VPN-1 Gateway. - Cisco, IOS IPSec.
- Cisco, VPN 3000 Concentrator..
Như vậy đã có nhiều hãng tham gia nghiên cứu, phát triển các thiết bị VPN. Bản thân mỗi hãng lại có nhiều dòng sản phẩm phục vụ cho nhiều nhu cầu ứng dụng khác nhau. Các sản phẩm có thể là chuyên dụng (phục vụ riêng cho mục đích VPN) hoặc kết hợp (chức năng VPN được đi kèm với các chức năng khác, chẳng hạn như router, firewall). Do chưa tồn tại một chuẩn chung nên cách thức sử dụng, cấu hình các sản phẩm này cũng khác nhau. Mục đích của chương này là đưa ra các nguyên tắc và mô hình thực hiện VPN nói chung và giới thiệu qua về tình hình thị trường VPN của Việt Nam [12].