Xác thực tiêu đề AH

Một phần của tài liệu NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG CHO KHỐI CƠ QUAN HCSN TỈNH NINH BÌNH (Trang 26 - 27)

BẢO MẬT TRONG VPN

3.4.1.Xác thực tiêu đề AH

AH là một trong những giao thức bảo mật IPSec đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu cũng như việc chứng thực người sử dụng. Trong những phiên bản đầu của IPSec, đóng gói bảo mật tải ESP chỉ thực hiện mã hóa mà không có chứng thực nên AH và ESP được dùng kết hợp. Tuy nhiên AH vẫn được dùng để đảm bảo việc chứng thực cho toàn bộ tiêu đề, dữ liệu cũng như việc đơn giản hóa đối với dữ liệu truyền trên mạng.

3.4.1.1. Chế độ AH

AH có hai chế độ: Transport và Tunnel. Ở chế độ Tunnel, AH tạo ra tiêu đề IP cho mỗi gói còn ở chế độ Transport AH không tạo ra tiêu đề IP mới.

Hình 3.5. Chế độ làm việc của AH

3.4.1.2. Xử lý đảm bảo tính toàn vẹn

Bước đầu tiên đảm bảo tính toàn vẹn là thực hiện hàm băm có khóa theo thuật toán băm như đã biết MAC. Trong khi thuật toán băm chuẩn cho giá trị băm dựa trên thông báo thì thuật toán băm có khóa dựa trên thông báo và khóa chia sẻ giữa hai điểm đầu cuối. Ở nơi phát giá trị băm được đưa vào gói và gửi cho nơi nhận. Nơi nhận sẽ tái tạo

IP Header Data AH Header Data IP Header IP Header Data AH Header New IP Header Xác thực Xác thực Gói IP gốc Transport Mode Tunnel Mode

giá trị băm bằng khóa chia sẻ và kiểm tra sự trùng khớp giá trị băm qua đó đảm bảo tính toàn vẹn của gói dữ liệu. IPSec dùng thuật toán mã chứng thực thông báo băm HMAC.

Tuy nhiên IPSec không bảo vệ tính toàn vẹn cho tất cả các trường trong tiêu đề của IP, chẳng hạn như TTL và trường check tiêu đề IP có thể thay đổi trong quá trình truyền.

3.4.1.3. Cấu trúc AH

Next Header Payload Length Reserved

Security Parameters Index (SPI) Sequence Number Authentication Data

Hình 3.6. Cấu trúc AH

- Next Header: Dài 01 byte, xác định giao thức mức cao hơn theo sau AH. Ở chế độ tunnel tải AH là nguyên gói IP nên Next Header được đặt là 4 cho IP-in-IP. Ở chế độ transport thì Next Header cho TCP là 6 và UDP là 17.

- Payload Length: Dài 01 byte, xác định chiều dài dữ liệu chứng thực

- Reserved: Dài 02 byte, dành sử dụng trong tương lai, thường được đặt bằng 0. - Security Parameters Index: Dài 04 byte, xác định giao thức bảo mật dùng cho gói - Sequence Number: Dài 04 byte, xác định số tuần tự của gói. Nó có tác dụng như một bộ đếm các gói IP AH thu được với cùng địa chỉ đích và tham số SPI.

- Authentication Data: Có độ dài thay đổi, chứa giá trị ICV, giá trị để kiểm tra tính toàn vẹn của dữ liệu.

Một phần của tài liệu NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG CHO KHỐI CƠ QUAN HCSN TỈNH NINH BÌNH (Trang 26 - 27)

(74 trang)