phiên làm việc. Quan trọng hơn, IPSec phân phối, kiểm soát khoá và cập nhật các khoá này khi được yêu cầu.
Hai khả năng thứ nhất của IPSec, xác thực tính toàn vẹn dữ liệu và sự tin cậy được cung cấp bởi hai giao thức khoá trong bộ giao thức IPSec. Các giao thức này bao gồm AH và ESP.
Khả năng thứ ba, quản trị khoá, nằm trong địa hạt của giao thức khác. Nó được chấp nhận bởi bộ IPSec vì dịch vụ quản lý khoá tốt của nó
3.1.2. Liên kết bảo mật IPSec (SA-IPSec)
Liên kết bảo mật là một khái niệm cơ sở của giao thức IPSec. Như một lời trích dẫn của các nhà phát triển IPSec: Một SA là một kết nối logic theo hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec, được định danh một cách duy nhất bởi ba phần sau:
<Security Parameter Index, IP Destination Address, Security Protocol> Một IPSec SA được xác định là:
- Các thuật toán, khoá, các giao thức xác thực.
- Mô hình và khoá cho các thuật toán xác thực được dùng bởi các giao thức AH hoặc ESP của IPSec thích hợp.
- Các thuật toán mã hoá, giải mã và các khoá.
- Thông tin liên quan đến khoá như: thời gian thay đổi và thời gian sống của khoá.
- Thông tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, thời gian sống.
Sau đây ta sẽ lần lượt xem xét ba phần của một SA
S e r c u r ity P r o t o c o l S P I D e s t in a t io n
I P A d d re s s
Hình 3.3 Mô tả ba trường của một IPSec SA
Như hình minh hoạ 3.3, một SA gồm 3 trường
- SPI(Security Parameter Index): Là một trường 32 bít, nó định danh giao thức bảo mật, được xác định bởi trường giao thức bảo mật(Security Protocol), từ IPSec thích hợp đang sử dụng. SPI được mang như một phần trên tiêu đề của giao thức bảo mật và thường được lựa chọn bởi hệ thống đích trong khi thương lượng thiết lập SA. SPI chỉ có ý nghĩa lôgic, được định nghĩa bởi người tạo SA. SPI nhận các giá trị trong phạm vi 1 đến 255, giá trị 0 được dùng cho mục đích thực thi đặc biệt cục bộ
- Địa chỉ IP đích: Đây là địa chỉ IP của Node đích. Mặc dù nó có thể là mộtđịa chỉ broadcast, unicast hoặc multicast, các cơ chế quản trị SA hiện tạiđược định