5. Giao thức IP (IPSec ): 1 Khái niệm :
5.2.Liên kết bảo mật IPSec (SA-IPSec)
Liên kết bảo mật là một khái niệm cơ sở của giao thức IPSec. Như một lời trích dẫn của các nhà phát triển IPSec: Một SA là một kết nối logic theo hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec, được định danh một cách duy nhất bởi ba phần sau: Security Parameter Index, IP Destination Address, Security Protocol
Một IPSec SA được xác định là:
- Các thuật toán, khoá, các giao thức xác thực.
- Mô hình và khoá cho các thuật toán xác thực được dùng bởi các giao thức AH hoặc ESP của IPSec thích hợp.
- Các thuật toán mã hoá, giải mã và các khoá.
- Thông tin liên quan đến khoá như: thời gian thay đổi và thời gian sống của khoá.
- Thông tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, thời gian sống.
Ba thành phần của một SA
Hình 1.13 : Mô tả ba trường của một IPSec SA
Một SA gồm 3 trường
- SPI(Security Parameter Index): Là một trường 32 bít, nó định danh giao thức bảo mật, được xác định bởi trường giao thức bảo mật(Security Protocol), từ IPSec thích hợp đang sử dụng. SPI được mang như một phần trên tiêu đề của giao thức bảo mật và thường được lựa chọn bởi hệ thống đích trong khi thương lượng thiết lập SA. SPI chỉ có ý nghĩa lôgic, được định nghĩa bởi người tạo SA. SPI nhận các giá trị trong phạm vi 1 đến 255, giá trị 0 được dùng cho mục đích thực thi đặc biệt cục bộ
- Địa chỉ IP đích: Đây là địa chỉ IP của Node đích. Mặc dù nó có thể là một địa chỉ broadcast, unicast hoặc multicast, các cơ chế quản trị SA hiện tại được định nghĩa chỉ với các địa chỉ unicast.
- Giao thức bảo mật: Trường này mô tả giao thức bảo mật IPSec, nó có thể là AH hoặc ESP.
Một SA IPSec sử dụng hai cơ sở dữ liệu:
+ Cơ sở dữ liệu chính sách bảo mật (SPD): duy trì thông tin về dịch vụ bảo mật trong một danh sách có thứ tự của các thực thể chính sách vào ra.
+ Cơ sở dữ liệu liên kết bảo mật(SAD): duy trì thông tin liên quan tới mỗi SA. Thông tin này bao gồm cả các khoá và thuật toán, khoảng thời gian sống của SA, chế độ giao thức và số tuần tự.