Chương 1 : TỔNG QUAN
3.6 Nhận thực đối tác
Một trong những xử lý IKE là thực hiện nhận thực đối tác. Quá trình này diễn ra trong pha thứ nhất sử dụng thuật tốn khóa băm cùng với một trong 3 loại khóa sau:
- Khóa chia sẻ trước - Chữ ký số RSA - RSA mật mã nonces
3.6.1 Khóa chia sẻ trước
Xử lý khóa chia sẻ trước là thủ công. Người quản lý tại một đầu cuối của IPSec IP-VPN đồng ý về khóa được sử dụng và sau đó đặt khóa vào thiết bị là host hoặc gateway một cách thủ công. Phương pháp này đơn giản, nhưng không được ứng dụng rộng rãi.
3.6.2 Chữ ký số RSA
Một giấy chứng nhận của người có quyền chứng nhận (Certificate Authority: CA) cung cấp chữ ký số RSA vào lúc đăng ký với CA. Chữ ký số cho phép an ninh hơn là khóa chia sẻ. Một khi cấu hình ban đầu đã được hồn thành, các bên sử dụng chữ ký số RSA có thể nhận thực đối phương khơng cần can thiệp của người điều hành.
Khi một chữ ký số RSA được yêu cầu, một cặp khóa cơng cộng và khóa riêng được sinh ra. Host sử dụng khóa riêng tạo ra một chữ ký số. Host này sẽ gửi chữ ký số của nó tới bên kia IPSec. Bên sử dụng khóa cơng cộng từ chữ ký số để phê chuẩn chữ ký số nhận được từ bên kia.
Một cách phát triển của chữ ký số là xử lý RSA trong lúc mật mã để nhận thực các bên. Một nonce là một số giả ngẫu nhiên. Xử lí này yêu cầu đăng ký với một CA để thu được một chữ ký số RSA. Các bên khơng chia sẻ khóa cơng cộng ở dạng nhận thực này. Chúng không trao đổi các chữ ký số. Việc xử lí một khóa chia sẻ là thủ cơng và phải thực hiện trong suốt q trình thiết lập ban đầu. RSA mật mã nonce cho phép từ chối truyền thông khi mà một bên từ chối hợp lý.