1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO
3.6 INTERNET PROTOCOL SECURITY
Internet Protocol Security – IPSec là cơ cấu tổ chức các chuẩn mở đảm bảo trao đổi thông tin riêng an toàn qua các mạng IP. Dựa trên các chuẩn được phát triển bởi tổ chức IETF, IPSec đảm bảo tính tin cậy, tính toàn vẹn và tính xác thực của dữ liệu truyền qua mạng IP công cộng. IPSec cung cấp các thành phần cần thiết cho giải pháp mềm dẻo, dựa trên các chuẩn để triển khai chính sách bảo mật diện rộng.
IPSec đề xuất một phương pháp chuẩn thiết lập các dịch vụ mã hoá, nhận thực giữa các đầu cuối. Điều này không chỉ là các thuật toán, biến đổi chuẩn mà còn là các cơ chế quản lý, thương lượng khoá chuẩn để tiến hành các hoạt động giữa các thiết bị. IPSec cung cấp mã hoá lớp mạng và các chuẩn cung cấp nhiều định dạng gói mới. Mào đầu nhận thực cung cấp tính toàn vẹn dữ liệu và tải trọng bảo mật đóng gói cung cấp tính tin cậy và tính toàn vẹ dữ liệu. Giao thức Diffie-Hellman được sử dụng để tạo khoá bí mật chia sẻ giữa hai thiết bị ngang hàng và trao đổi khoá internet (IKE) dựa trên giao thức ISAKMP/Oakley để quản lý việc phát sinh, thực hiện các khoá.
Một tập hợp bảo mật (Security Association – SA) là một chính sách thương lượng sẽ được trao đổi giữa hai thiết bị ngang hàng. Các thông số SA hoạt động được lưu trữ trong cơ sở dữ liệu tập hợp bảo mật (SAD).
Đối với cả IKE và IPSec thì các SA được thương lượng bởi IKE qua các pha và các chế độ khác nhau. Trong pha 1, IKE thương lượng các tập hợp bảo mật IPSec. Hai chế độ có thể sử dụng trong pha 1:
− Chế độ Main. − Chế độ Aggressive.
Trong pha 2, IKE thương lượng các tập hợp bảo mật IPSec và chỉ trao đổi trong pha 2 là chế độ Quick.