- Thông số ở đầu ra của hàm f9: là mã nhận thực bản tin toàn vẹn số liệu
3.8.2 An ninh IP (IPsec)
IPsec được sử dụng để bảo vệ các gói IP, các phần chính của IPsec là tiêu đề nhận thực (AH), tải tin an ninh đóng bao (ESP) và trao đổi khóa Internet (IKE).
Quá trình bảo vệ các gói IP này được thực hiện bởi ESP, được đảm bảo cả bí mật lẫn toàn vẹn, còn AH chỉ đảm bảo tính toàn vẹn. Cả AH và ESP đều cần các khóa để thực hiện nhận thực và mật mã hóa các gói. Vì thế trước khi sử dụng ESP và AH cần đàm phán các khóa này.
Quá trình này được thực hiện một cách an ninh thông qua IKE được xây dựng trên ý tưởng mật mã hóa khóa công cộng nhằm trao đổi thông tin an ninh trên đường truyền không an ninh.Tồn tại hai chế độ ESP: chế độ truyền tải và chế độ truyền tunnel. Trong chế độ truyền tải toàn bộ gói IP (trừ tiêu đề) đều được mật mã hóa. Sau đó một tiêu đề ESP mới được bổ sung giữa tiêu đề IP và phần vừa được mật mã hóa. Sau cùng mã nhận thực bản tin (MAC) được tính toán cho toàn bộ, trừ tiêu đề IP và MAC được đặt vào cuối gói. Tại phía thu, tính toán toàn vẹn được đảm bảo bằng cách loại bỏ tiêu đề IP khỏi đầu gói và MAC khỏi cuối gói. Sau đó thực hiện hàm MAC và so sánh đầu ra của nó với MAC trong gói. Nếu toàn vẹn thành công, tiêu đề ESP được loại bỏ và phần còn lại được giải mã.
Sau đó quá trình này được tiến hành như ở chế độ truyền tải cho gói mới nhận được. Điều này có nghĩa là tiêu đề IP của gói gốc được bảo vệ.
Truyền thông ESP được thực hiện giữa hai đầu cuối sử dụng chế độ truyền tải. Để thực hiện quá trình này hai phía truyền thông phải biết được địa chỉ IP của nhau và thực hiện chức năng IPsec.