là AH hoặc ESP.
Trước khi hai máy chủ có thể liên lạc được với nhau sử dụng giao thức IPSec, chúng cần thống nhất các hướng dẫn cho phiên làm việc đó (ví dụ như cách xác thực lẫn nhau hay thuật toán mã hoá hai bên cùng sử dụng). Đây chính là việc liên kết bảo mật, đó chính là thoả thuận cách thức thống nhất được sử dụng cho việc bảo mật dữ liệu giữa hai đầu cuối.
Một SA IPSec sử dụng hai cơ sở dữ liệu:
+ Cơ sở dữ liệu chính sách bảo mật (SPD): duy trì thông tin về dịch vụ bảo mật trong một danh sách có thứ tự của các thực thể chính sách vào ra. Rất giống với các luật và bộ lọc gói tin của Firewall. Các thực thể này định nghĩa lưu lượng phảiđược xử lý và lưu lượngđược bỏ qua trên các chuẩn IPSec.
+ Cơ sở dữ liệu liên kết bảo mật(SAD): duy trì thông tin liên quan tới mỗi SA. Thông tin này bao gồm cả các khoá và thuật toán, khoảng thời gian sống của SA, chế độ giao thức và số tuần tự.
Liên kết bảo mật là đa hướng, có nghĩa là cần thiết lập các liên kết bảo mật khác nhau cho luồng dữ liệu đi và đến. Thêm vào đó, nếu máy chủ liên lạc với một hay nhiều máy chủ khác trong cùng một thời điểm thì cũng cần thiết lập từng đó liên kết. Các liên kết bảo mật được lưu trữ trong cơ sở dữ liệu tại mỗi máy tính với chỉ số về thông số bảo mật (SPI) cho mỗi phần tiêu đề AH và ESP tương ứng. Phía nhận sẽ sử dụng các thông số này để quyết định sẽ áp dụng liên kết bảo mật nào để xử lý gói tin vừa nhận được. Trên thực tế, thủ tục trao đổi khoá Internet (IKE) là thủ tục cho phép quản lý việc tạo ra các liên kết bảo mật và tạo ra các khoá bảo mật để bảo vệ nội dung thông tin. IKE sử dụng thuật toán Diffie- Hellman để tạo ra và quản lý các khoá bí mật, thiết lập kênh trao đổi khoá đối xứng dùng cho việc mã hoá và giải mã thông tin giữa hai đầu, cuối.
3.1.3. Các giao thức của IPSec
Đó là các giao thức xác thực tiêu đề (AH) và giao thức đóng gói tải bảo mật (ESP). Các giao thức này có thể được cấu hình để bảo vệ toàn bộ phần thân của gói tin IP hoặc chỉ riêng phần thông tin liên quan đến các giao thức ở tầng trên.
AH được định nghĩa bởi nhóm làm việc RFC 2402, đảm bảo tính toàn vẹn dữ liệu trên đường truyền bằng khoá H (Hàm băm – Hashing function). AH thực hiện phần thuật toán băm cả phần đầu và phần thân của gói tin IP nhưng không áp dụng cho các thông tin sẽ thay đổi trên đường truyền như số đếm của mỗi nút mạng, vì thế AH cho phép thay đổi thông tin địa chỉ và đảm bảo dữ liệu của gói tin IP sẽ không bị nghe trộm. Điều này dẫn đến một chức năng nữa của AH là khả năng chống lại việc giả mạo (đột nhập vào giữa đường truyền của các gói tin và tạo ra các gói tin giả) khi sử dụng các số thứ tự tăng dần gắn vào mỗi gói tin. Tuy nhiên, AH không cung cấp khả năng mã hoá dữ liệu.
ESP là một giao thức Internet được nhóm công tác RFC 2406 định nghĩa. Khi được sử dụng riêng rẽ hoặc kết hợp với giao thức AH, ESP đảm bảo tính toàn vẹn
và chức năng mã hoá dữ liệu. Các thuật toán mã hoá do ESP hỗ trợ bao gồm DES- CBC, DES 56 bit và 3DES. Ngoài ra ESP còn cho phép kiểm tra tính toàn vẹn của gói tin thông qua HMAC MD5 và HMAC SHA.
3.1.3.1. Giao thức xác thực tiêu đề (AH)
Giao thức xác thực tiêu đề thêm một tiêu đề vào gói IP. Như tên gọi của nó, tiêu đề này phục vụ cho việc xác thực gói dữ liệu IP gốc tại người nhận cuối cùng, tiêu đề này giúp nhận biết bất kỳ sự thay đổi nào về nội dung của gói dữ liệu bởi người dùng không mong muốn trong khi đang truyền, tuy nhiên AH không đảm bảo tính tin cậy.
Để tạo một AH, một giá trị mã thông điệp cần xác thực qua hàm băm (HAMC) được tạo tại người gửi. Giá trị băm này được tạo trên cơ sở của SA, cái xác định trình tự giao dịch sẽ được áp dụng cho gói dữ liệu. Mã kết quả được gắn kèm vào gói dữ liệu sau tiêu đề IP gốc. Tại người nhận cuối, HAMC được giải mã và được dùng để thiết lập việc xác thực người gửi cũng như tính toàn vẹn của thông điệp.
AH không mang lại sự tin cậy trong một giao dịch. Nó chỉ thêm một tiêu đề vào gói IP, phần còn lại của nội dung gói dữ liệu được để mặc. Hơn nữa, AH không bảo vệ bất kỳ trường nào trong tiêu đề IP vì một trong số đó có thể thay đổi trong quá trình truyền, chỉ các trường nào không thay đổi trong quá trình truyền là được bảo vệ bởi AH. Địa chỉ IP nguồn và địa chỉ IP đích là những trường như vậy và vì thế được bảo vệ bởi AH. Tóm lại, giao thức AH có các đặc trưng cơ bản như sau:
- Cung cấp tính toàn vẹn dữ liệu và bảo vệ chống phát lại
- Sử dụng mã xác thực thông điệpđược băm(HMAC), dựa trên chia sẻ bí mật - Nội dung các gói tin không được mã hoá
- Không sử dụng các trường changeable IP header để tính toán giá trị kiểm tra tính toàn vẹn(IVC)
Khuông dạng của gói tin theo giao thức AH được minh hoạ như trong hình 3.4. Các trường trong AH header đều là bắt buộc.
- Next Header: Trường này nhận biết giao thức bảo mật, có độ dài 8 bít để xác định kiểu dữ liệu của phần Payload phía sau AH. Giá trị của trường này được