- Có hai loại đường hầm chính là đường hầm có cấu hình và đường hầm tự động.
b.Giao thức Encapsulating Security Payload (ESP)
ESP giúp tăng độ tin cậy trong quá trình xác định người người và xác minh tính tòan vẹn của dữ liệu trong quá trình truyền qua mạng. ESP se mã hóa nội dung của datagram bằng các giải thuật mã hóa. Một vài giải thuật thường được sử dụng là : DES-CBG, NULL, CAST-128, IDEA, and 3DES. Giải thuật xác định tương tự như những giải thuật dùng trong HA là HMAC-MD5 và HMAC-SHA.
So sánh ESP với AH ta thấy rằng : AH chú trọng đến việc xác minh và bảo vệ tòan vẹn dữ liệu của IP datagram, trong khi đó ESP chỉ bảo vệ phần payload (chứa nội dung cần truyền ) (Xem hình 6-5). ESP có cơ chế mã hóa khá mạnh nhờ đó nó không hề làm nặng CPU và chạy nhanh hơn so với AH. Tuy nhiên do ESP phải đính thêm 24 byte vào datagram nên nó khá chậm khi tính tóan và phân đọan.
Figure 6-5: The IP packet after the ESP header and trailer are added Định dạng của datagram IP dựa trên ESP được minh họa ở hình 6-6 gồm những trường sau.
SPI (Security Parameter Index). Trường này mô tả về ngữ cảnh của SA ( địa chỉ đích, giao thức sử dụng).
Số thứ tự. Trường mô tả chuỗi các datagram trong phiên truyền thông tin này.
Đệm. Trường dùng để đệm thêm vào payload nếu payload không đủ độ dài cần thiết.
Chiều dài đệm. Trường mô tả độ dài của phần đệm thêm. Nó giúp máy nhận xác định ranh giới của phần payload gốc so với sau khi đệm thêm vào.
Next Header. Trường xác định giao thức bảo mật để đóng gói.
Dữ liệu xác thực. Trường chứa dữ liệu xác thực với giá trị kiểm tra tính tòan vẹn (ICV), dùng để kiểm tra tính tòan vẹn của thông điệp gửi đi
IPSec Modes
SA trong IPSec được thực thi trong hai mode (minh họa hình 6-7). Gồm đó mode truyền tải(Transport mode) và mode đường hầm (Tunnel mode). Cả AH va ESP đều họat động ở cả hai mode.
Figure 6-7: The two IPSec modes a. Mode chuyền tải
Mode chuyển tải bảo vệ các giao thức ở lớp trên và các trình ứng dụng. Trong mode chuyền tải, IPSec header được gắn vào giữa IP header và header của các giao thức lớp trên, minh họa hình 6-8
Figure 6-8: IPSec mode truyền tải
Figure 6-9: AH mode vận chuyển.
Đối với ESP, ESP trailer và ESP dữ liệu xác thực được đính vào sau payload ban đầu. Sau đó một header mới được thêm vào trước payload (minh họa hình 6-10).
Mode truyển tải ít sử lý ở phần đầu của datagram nên nó nhanh hơn. Tuy nhiên nó sẽ không hiệu quả với ESP hoặc các trường hợp không xác thực cũng như mã hóa IP header.