e) Thủ tục thiết lập đường hầm MIP-IPSec
Quá trình thiết lập các đường hầm MIP-IPSec có thể chia thành 3 bước: - Lựa chọn đường hầm
- Thương lượng các thiết lập bảo mật - Kích hoạt đường hầm
Trong đó, việc lựa chọn đường hầm xảy ra đồng thời với đăng ký Mobile IP; kích hoạt đường hầm xảy ra đồng thời với trong bước trong bước kích hoạt
đường hầm trong Mobile IP chuẩn.Việc thương lượng các thiết lập bảo mật là một bước mới nhưng nó làm phát sinh một phức tạp cần xử lý: nếu thương lượng bảo mật không thỏa mãn, một đường hầm MIP-IPSec có thể bị ngắt ngay cả khi đăng ký MIP thông thường đã thành công.
3.6.3. Cải tiến trao đổi khóa cho IPSec trong Mobile IP
Với họ giao thức IPSec được đưa vào các kết nối cho MN sẽđem lại cho dữ
liệu tính bí mật, tính toàn vẹn, xác thực. Tuy nhiên, với giao thức Mobile IP, các thiết lập bảo mật SA sẽ phải được thương lượng lại mỗi khi MN di chuyển do có các thay đổi về địa chỉ như địa chỉ IP của FA, địa chỉ COA. Trong khi đó, phần nhiều các thiết bị di động (MN) lại là các thiết bị có khả năng tính toán hạn chế hơn so với các thiết bị cốđịnh. Vì vậy, IPSec có thể gây ra những sự trễ quá lớn trong sự
chuyển tiếp của Mobile IP do IPsec đòi hỏi tính toán lại SA.
Để khắc phục điểm này, một giải pháp đã được đề xuất trong [10] đưa ra một cấu trúc dữ liệu mới cho giao thức ISAKMP (Internet Security Association and Key Mangement Protocol – hiện nay đã được hợp nhất vào giao thức IKEv2, hay IKE phiên bản 2 tức Internet Key Exchange Protocol).
Phương pháp này mở rộng cách sử dụng một số thông điệp trong ISAKMP (nay là các thông điệp IKEv2) để hỗ trợ Mobile IP mà không làm giảm hiệu năng mạng. Với phương pháp mới này, MN có thể cập nhật các thiết lập bảo mật SA bằng cách gửi đi một thông điệp ISAKMP kiểu “trao đổi thông tin” (Informational Exchange Messenge – một kiểu thông điệp được định nghĩa trong chuẩn IKEv2). Thông điệp này tuy được gửi không mã hóa, nhưng một dữ liệu băm (ISAKMP Hash payload) xác thực xuất xứ của thông điệp và tính toàn vẹn của dữ liệu. Do đó, không có chi phí tính toán nào cần tới và các thông tin quan trọng không bị lộ.
- MN di chuyển tới một mạng mới và có một địa chỉ COA mới (thủ tục xác thực MN-HA có thểđã hoàn thành)
- MN gửi một thông điệp ISAKMP (không mã hóa) tới HA. Thông điệp ISAKMP này (Hình 46) sẽ chứa địa chỉ IP cũ trong một vùng dữ liệu (payload – gọi là “IP Address Update” - Hình 47) của thông điệp ISAKMP. Một vùng dữ liệu băm (Hash Payload) cũng được gửi cùng để đảm bảo tính toàn vẹn dữ liệu.
- HA sử dụng khóa bí mật gắn với địa chỉ cũ IP của MN ( nằm trong tải dữ liệu “IP Address Update” vừa nhận được) để xác thực tải dữ liệu băm. Nếu xác thực thành công, Mọi thiết lập bảo mật SA cho địa chỉ IP cũ trong cơ sở dữ liệu được cập nhật với địa chỉ IP mới.
- HA gửi trả lời MN bằng một thông điệp xác nhận các thiết lập bảo mật SA mới.
- MN có thể sử dụng các thiết lập bảo mật mới SA để tiếp tục giao tiếp mà không cần trao đổi các thông điệp ISAKMP/IKE mới.
Thông điệp được đề xuất sử dụng ở đây dựa trên chế độ “Trao đổi thông tin” (Information Exchange) được định nghĩa trong ISAKMP ([9] ) và IKE ([2] ).