1. Giới thiệu về IPSec.
1.2.1. Giao thức AH (Authentication Header).
AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là lựa chọ nhằm chống lại các tốn công replay attack bằng cách sử dụng công nghệ chống tấn công sliding window và discarding older packets , AH bảo vễ quá trính truyền dữ liệu khi sử dụng IP. Trong IPv4, IP Header có bao gồm TOS, Flags, Fragment Offset, TTL, va Header checksum. AH thực hiện trực tiếp trong phần đầu tiền của gói tin IP. Dưới đây là mô hình của AH header.
Hình 13 : Cấu trúc gói tin AH
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 41
Next header (8 Bits): Nhận dạng giao thức sử dụng truyền thông tin, các
định lại dữ liệu chứa trong tiêu đề AH.
Payload leghth (8 Bits): Độ lớn của gói tin AH tính bằng đơn vị (32 Bits) và
trừ đi 2 đơn vị.
(ví dụ: toàn bộ chiều dài tiêu đề AH là 6 thì chiều dài vùng Payoad là 4).
RESERVED (16 Bits): Sử dụng trong tương lai (cho đến thơi điểm hiện
này nó được biểu diễn bằng các con số 0).
Security paramaters index (SPI – 32 Bits): Nhận ra các thông số bảo mật,
được tích hợp với địa chủ IP, và nhận dàng các thương lượng bào mật được kết hợp vói các gói tin. Giá trị 1-255 được dành riêng, giá trị 0 sử dụng cho mục đích đặc biệt, các giá trị khác dùng gắn cho SPI.
Sequence numbet (32 Bits): đây là một giá trị không đâu, luôn tăng và cho
phép cung cấp dịch vụ antireplay cho một SA. Thông tin này không nhất thiết được dùng bới bên nhận nhưng nó có phải bao gôm thiết bị gửi. Chỉ số này được khởi động về 0 khi SA được thiết lập. Nếu dịch dụ antureplay dược dùng, chỉ số này không bao giờ dc phép lặp lại.Bởi vì bên gửi không biết bên nhận có dùng dịch vụ antireplay hay không, SA sẽ được hủy và một SA mới sẽ được tái thiết lập sau khi có 232 goi tin được truyền.
Authentication data (chiều dài không xác định): trường này chứa nhiều giá
trị Integrity Check Value (ICV) cho gói tin.Trường này phải là một số nguyên bội số của 32 và có thể chứa các giá trị đệm (padding) để ấp đấy các bít trống chp đủ 32 bits. Giá trị ICV này được dùng các giải thuật như Message Authentication Code (MACs). MACs được dựa trên các giải thuật mã hóa đồi xứng như DES và 3DES hoặc các hàm Hash một chiều dải nhưu MD5 hoặc SHA-1. Khi tính choán chỉ số ICV, dùng trong MAC làm giá trị này khó bị bẻ gãy. Mỗi đầu của một kết nối VPN sẽ tính toàn chỉ số ICV này
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 42 một cách độc lập. Nếu các giá trị này không trùng, gói tin sẽ bị bỏ qua. Điều này giúp đảm bảo các gói tin không bị thay đổi trong quá trình truyền.
AH cung cấp các tính xác thực, tính nguyên vẹn và khâu lặp cho toàn bộ gói tin bao gồm cả phần tiêu đề của IP (IP Header) và các gói dữ liệu được chuyển trong các gói tin.
AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ liệu có thể được đọc nhưng chúng sẽ được bảo vệ đề chống lại sự thay đổi. AH sẽ sử dụng thuật toán Key AH đề đánh dấu gói dữ liệu nhằm đảm bảo tính toàn vẹn của gói dữ liệu.
Hình 14: Các thành phần chứng thực trong AH.
Hình 15: Quá Trình tạo gói tin AH.
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 43 Khi một AH SA được khởi tạo lần đầu tiên , thuật toán xác thực và các khóa được gi lại, và số chuỗi truy cập được thiết lập là 0. Khi IPsec xác định rằng một gói tin sẽ ra bên ngoài có AH được áp dụng, nó nằm bên trong SA thích hợp và thực hiện các dước sau:
Bước 1: Một tiêu đề AH mẫu được chèn vào giữa IP haeder và tiêu đề lớp
trên.
Bước 2: Số sepuence number tang dần và được lưu giữ trong các tiêu đề AH.
Vào thời gian này, AH kiểm tra để đảm bảo rằng số thứ tự sẽ không bị lặp, Nếu lặp, AH sẽ tạo ra một SA mới và khởi tạo dãy số 0. Trong trường hợp số sepeunce number không lặp, số thứ tự đó sẽ được tăng lên và được lưu giữ trong các tiêu đề AH.
Bước 3: Phần còn lại của các trường AH, ngoại trừ của ICV, được làm đầy
đủ với chiều dài quy định.
Bước 4: Nếu cần. paddinh tùy ý được thêm vào tiêu đề AH đề đảm bảo rằng
nó là một bội số của 32 bit (64 bit cho IPv6).
Bước 5: Các trường có thể thay đổi trong IP Header và trường ICV trong tiêu
đề AH được đành 0, và ICV được tính trên toàn bộ datagram IP. Nếu có nhiều nguồn định tuyền khác trong khi truyền (truyền qua các thiệt bị trung gian) trong IP Header, địa chỉ dịch phải được đặt là địa chỉ cuối cùng trước khi tính toán ICV.
Bước 6: các trường có thể thay đổi được làm đầy , và các ICV được lưu trữ
trong tiêu đề AH. Nếu có một nguồn định tuyền tùy chọn trung gian khac, trường địa chỉ đích của tiêu đề IP được thiết lập các điểm đến trung gian.
Bước 7: các datagram IP được đặt và hàng đợi đầu ra cho truyền dẫn đến
đích của nó.