1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO
3.6.3.1 Trao đổi khoá Internet (Internet Key Exchange – IKE)
IKE bắt nguồn từ giao thức quản lý khoá liên kết bảo mật Internet (ISAKMP/Oakley) đặc trưng cho IPSec. IPSec sử dụng các dịch vụ của IKE để nhận thực các thiết bị ngang hàng, quản lý phát sinh khoá và điều khiển các khoá được sử dụng bởi các thuật toán mã hoá cũng như các thuật toán băm giữa các thiết bị ngang hàng. Nó cũng thương lượng các liên kết bảo mật IPSec.
IKE cung cấp ba mode để trao đổi thông tin khoá và thiết lập các liên kết bảo mật IKE. Hai mode đầu là các trao đổi pha 1 được sử dụng để thiết lập kênh bảo mật ban đầu; mode thứ ba là trao đổi pha 2 để thương lượng các liên kết bảo mật IPSec. Hai mode trong pha 1 là main mode và aggressive mode còn mode trong pha 2 được gọi là quick mode. IKE SA được sử dụng để cung cấp một ống bảo vệ cho các trao đổi IKE giữa các thiết bị ngang hàng và sau đó sử dụng quick mode trong pha 2 để thương lượng các liên kết bảo mật IPSec.
Main mode có ba trao đổi hai chiều giữa bên tạo và nên nhận. Trong trao đổi đầu tiên, các thuật toán và các hàm băm được thoả thuận. Trao đổi thứ hai sử dụng Diffie-Hellman để thoả thuận về bí mật chia sẻ và để qua nonces. (Nonces là các số ngẫu nhiên được gửi tới thành viên khác và được đánh dâu và trả lại để cung cấp nhận dạng của chúng). Trao đổi thứ ba xác nhận nhận dạng của thiết bị ngang hàng khác.
Trong aggressive mode, một vài trao đổi được thực hiện sử dụng ít gói tin hơn trong main mode. Nhược điểm khi sử dụng aggressive mode là cả hai siade đã trao đổi thông tin trước khi có một kênh an toàn. Do đó, có thể có sự rình mò và phát hiện ra người tạo SA mới. Tuy nhiên, aggressive mode nhanh hơn main mode.
Quick mode diễn ra sau khi IKE thiết lập đường hầm bảo mật. Mọi gói tin được mã hoá sử dụng quick mode. Trước khi IKE tiến hành thì các thành viên quan trọng phải được yêu cầu thoả thuận cách để chúng nhận thực với nhau. Phương pháp nhận thực này được thương lượng trong khi trao đổi IKE main mode pha 1.
Trước khi truyền bất kỳ lưu lượng sử dụng IPSec nào thì từng ruoter/firewall/host có thể phải kiểm tra nhận dạng của thiết bị ngang hàng. IKE cung cấp nhiều phương pháp nhận thực. Hai thực thể phải thoả thuận về giao thức nhận thực chung qua quá trình thương lượng. IPSec cung cấp các quá trình thương lượng sau:
− Các khoá chia sẻ trước (Pre-shared keys).
− Mã hoá khoá công khai - Public key cryptography (nonces). − Chữ kỹ số.
Tóm lại, khi thương lượng IKE bắt đầu thì IKE tìm kiếm một chính sách IKE cho cả hai thiết bị ngang hàng. Thiết bị khởi tạo thương lượng sẽ gửi tất cả các chính sách của nó tới thiết bị đầu xa và thiết bị đầu xa sẽ cố gằng tìm ra những cái phù hợp. Thiết bị đầu xa kiểm tra từng chính sách theo thứ tự bắt đầu từ ưu tiên cao nhất cho đến khi thấy có sự phù hợp.
Phù hợp là khi cả hai chính sách của hai thiết bị ngang hàng chứa cùng giá trị thông số mã hoá, hàm băm, nhận thực và Diffie-Hellman. Nếu không tìm thấy sự phù hợp thì IKE từ chối thương lượng và IPSec sẽ không được thiết lập.