Trường HMAC là một chuẩn HMAC SHA-1 hoặc MD5 dựa trờn HMAC. Như đó nờu trong sơ đồ, đõy là trường xỏc thực tải, Packet ID và IV. IV là một vector khởi tạo ngẫu nhiờn cho chế độ mó húa CBC.
Ngoài chế độ CBC, OpenVPN hỗ trợ cỏc thụng tin phản hồi mật mó (cipher feedback - CFB) và chế độ đầu ra thụng tin phản hồi (output feedback-OFB). Cỏc IV thường cú độ dài là 64 hoặc 128 bit .
Trường packet ID được sử dụng như một trường sequence number để ngăn chặn cỏc cuộc tấn cụng phỏt lại(replay attack). OpenVPN duy trỡ một cửa sổ trượt (sliding window) số thứ tự (sequence number) và từ chối nếu một gúi tin của nú cú số thứ tự là khụng hợp lệ.
Ngoài cỏc cửa sổ trượt, OpenVPN ỏp dụng một bài kiểm tra thời gian và từ chối out- of-order packets được nhận được hơn t giõy sau khi bất kỳ gúi cú chứa một số thứ tự cao hơn. Tham số t là cấu hỡnh với một giỏ trị mặc định là 15 giõy. Chiều rộng của cửa sổ cũng được cấu hỡnh, với một mặc định là 64 (64 sequence numbers).
Hỡnh 3.5 Cú thể thấy Packet ID là 32 bit, kớch thước của nú khi chế độ CBC được sử dụng. Khi CFB, OFB, hoặc chế độ static key sử dụng, kớch thước của nú sẽ được 64 bit.
Như chỳng ta cú thể thấy, OpenVPN Data Channel chớnh xỏc đỏp ứng yờu cầu cho một VPN: một đường hầm mó húa và xỏc thực giữa hai mạng hoặc mỏy tớnh. Như chỳng ta thấy khi chỳng ta thảo luận về an ninh, kờnh dữ liệu được thiết kế tốt và khụng cú bất kỳ khai thỏc điểm yếu an ninh.
3.2.2.5 Ping và giao thức OCC
Ngoài băng thụng sử dụng, cỏc kờnh dữ liệu mang một số lượng hạn chế thụng tin điều khiển. OpenVPN cú thể được cấu hỡnh để cú cỏc nỳt gửi, giữ cỏc thụng điệp cũn sống (keep-alive ) và ngắt hoặc khởi động lại VPN nếu khụng nhận được lưu lượng truy cập trong một thời gian quy định. Mặc dự OpenVPN đề cập đến cỏc thụng điệp cũn sống như cỏc gúi tin ping (ping packets), khụng phải theo nghĩa ping ICMP, đỳng hơn là nếu một nỳt khụng cú thụng lượng được gửi trong một thời gian quy định, nú sẽ gửi tới chớnh cỏc mỏy của nú một lệnh ping. Khi nhận được ping, mỏy muốn thiết lập lại bộ đếm thời gian nhận được gúi tin của nú và loại bỏ cỏc gúi. Như chỳng ta thấy từ hỡnh 3.3: khụng cú thụng bỏo mó số ping op. Thay vào đú, cỏc gúi tin ping được gửi đi như bỡnh thường cỏc gúi kờnh dữ liệu với một chuỗi byte duy nhất.
Lưu ý rằng giao thức chỉ yờu cầu rằng mỗi nỳt đảm bảo nú khụng quỏ lõu mà khụng gửi lưu lượng truy cập trờn kờnh dữ liệu. Nếu một nỳt khụng nhận được lưu lượng truy cập trong khoảng thời gian chờ, nú cú thể, tựy thuộc vào cấu hỡnh: khởi động lại hoặc kết thỳc VPN.
Đường hầm trong thời gian khởi tạo, trao đổi cỏc nỳt thụng tin cấu hỡnh, sử dụng giao thức OCC. Cũng như với cỏc gúi ping, cỏc thụng bỏo được phõn phối trờn cỏc kờnh dữ liệu và được phõn biệt với lưu lượng bỡnh thường của một tiền tố bao gồm một chuỗi byte duy nhất. Định dạng chung của cỏc thụng bỏo này được thể hiện trong hỡnh 3.6 .