3.2.3. Các phƣơng thức bảo mật trong IPSec
Điều khiển truy nhập (access control): là phƣơng thức bảo mật, ngăn chặn
việc sử dụng nguồn tài nguyên không hợp lệ (không đƣợc nhận thực). Trong IPsec tài nguyên mà cần điều khiển truy nhập là:
Đối với host thì đó là dữ liệu.
Đối với cổng an ninh thì đó là mạng đằng sau cổng hoặc băng thông trong mạng.
Nhận thực (Authentication): Bao gồm nhận thực gốc dữ liệu và toàn vẹn
không kết nối.
Mã bảo mật (Encapsulation): là chuyển đổi dữ liệu từ dạng gốc sang dạng
đƣợc mã hóa. Quá trình này gọi là tạo mã bảo mật hoặc mã hóa và quá trình ngƣợc lại gọi là giải mã. Thƣờng ngƣời ta gọi tắt mã hóa, là đã bao hàm cả hai quá trình lập mã và giải mã.
Nhận thực gốc dữ liệu (Data Origin Authentication): Là xác thực nhận dạng
nguồn gốc dữ liệu. Nhƣ ta đã nói ở trên nhận thực gốc dữ liệu thƣờng đi kèm với đảm bảo tính không kết nối trong quá trình nhận thực.
Tính toàn vẹn (Integrity): Đảm bảo rằng các gói không bị xóa, thêm vào hoặc
với nhu cầu ngƣời dùng. IPsec hỗ trợ 2 kiểu toàn vẹn: toàn vẹn không kết nối và toàn vẹn dữ liệu.
Toàn vẹn không kết nối: Dò những bổ xung, thay đổi của dữ liệu mà không cần quan tâm đến thứ tự của các gói dữ liệu trong dòng lƣu lƣợng.
Toàn vẹn dữ liệu: Ngăn chặn việc phát lại gói không đúng. Nói cách khác là tránh việc xuất hiện hai gói cùng số thứ tự ở bên thu.
Kết hợp bảo mật (Security Association - SA): là một kết nối logic một chiều,
đƣợc tạo ra với mục đích bảo mật. Tất cả các lƣu lƣợng ngang qua một SA đều có quá trình xử lí an ninh giống nhau.
Cổng an ninh (Security Gateway): Là một hệ thống hoạt động đóng vai trò làm
giao diện kết nối giữa hai mạng. Tập hợp host hoặc mạng ở phía ngoài của cổng an ninh đƣợc coi là không tin cậy, còn tập hợp mạng hoặc host ở phía trong cổng an ninh đƣợc gọi là tin cậy. Trong IPsec, cổng an ninh là điểm mà tại đó AH và ESP đƣợc sử dụng để phục vụ một tập các host bên trong, đồng thời cung cấp dịch vụ bảo mật cho những host này khi chúng cần thông tin với các host khác ở bên ngoài cũng sử dụng IPsec.
3.2.4. Đƣờng ngầm IPSec