Chương 2 Giao thức mạng riêng ảo tại tẩng 2
3.2. Giao thức trao đổi khoá Internet
3.2.2. Các yêu cầu quản lý khoá đối với IPSec
Các giao thức IPSec AH và ESP yêu cầu là các chia sẻ bí mật được biết với tất cả các nhóm tham gia có u cầu khố một cách thủ cơng hoặc phân phối khoá. Vấn đề đặt ra là các khố có thể bị mất, bị tổn hại hoặc đơn giản là bị hết hạn. Kỹ thuật thủ cơng khơng mềm dẻo khi có nhiều liên kết an tồn được quản lý. Một cơ chế trao đổi khoá tinh vi cho IPSec phải đáp ứng các yêu cầu sau:
- Độc lập với các thuật toán mật mã cụ thể - Độc lập với các giao thức trao đổi khoá cụ thể - Xác thực các thực thể quản lý khố
- Thiết lập SA qua tầng vận tải “khơng đảm bảo” - Sử dụng hiệu quả các tài nguyên
- Cung cấp khả năng tạo yêu cầu của host và các phiên SA
Giao thức IKE được thiết kế để đáp ứng các yêu cầu đó. Nó dựa trên các liên kết bảo mật Internet và cấu trúc của giao thức quản lý khố và giao thức phân phối khố Oakley. IKE có các đặc trưng sau:
- Tự động làm tươi khoá
- Giải quyết bải toán “khoá đầu tiên”
- Mỗi giao thức bảo mật có khơng gian các SPI riêng của nó - Có các tính năng bảo vệ được xây dựng sẵn
+ Chống được các tấn công từ chối dịch vụ
+ Chống được tấn công chiếm quyền điều khiển phiên và kết nối - Bảo mật toàn diện
- Cách tiếp cận dựa trên 2 pha
+ Pha 1 - Thiết lập các khoá và SA cho trao đổi khoá + Pha 2 - Thiết lấp các SA cho truyền dữ liệu
- Được thực thi như ứng dụng qua UDP, cổng 500 - Hỗ trợ các chứng chỉ cho Host và người dùng - Sử dụng xác thực mạnh với trao đổi khoá ISAKMP
+ Chia sẻ trước các khố
+ Các khố khơng thực sự được chia sẻ, chỉ một thẻ bài được dùng cho việc tạo khoá cần thiết
+ Các chữ ký số
+ Hệ mật khố cơng khai
Như đã đề cập, IKE yêu cầu 2 pha phải được hoàn tất trước khi luồng dữ liệu được bảo vệ với AH và ESP