Giai đoạn II của IKE(Pha 2)

Một phần của tài liệu nghiên cứu cơ chế hoạt động của giao thức trao đổi khóa ike(internet key exchange) và ứng dụng trong bảo mật thông tin mạng (Trang 49)

Trong khi pha I thương lượng việc thiết lập SA cho ISAKMP. Pha II giải quyết việc thiết lập SA cho IPSec. Trong pha này, SA được sử dụng bởi nhiều dịch vụ đã được thương lượng. Các cơ chế xác thực, hàm băm, thuật toán mã hoá được bảo vệ theo sau các gói IPSec (dùng AH và ESP) như là một phần của pha SA.

Pha II thương lượng xuất hiện thường xuyên hơn pha I. Điển hình, một thương lượng có thể lặp lại trong 4-5 phút. Sự thay đổi thường xuyên này của khoá mật mã nhằm ngăn chặn Hacker có thể bẻ các khoá này, và sau đó là nội dung của các gói dữ liệu gốc.

Oakley là một giao thức mà IKE dựa vào. Oakley lần lượt định nghĩa 4 chế độ IKE thông dụng.

Thông thường một phiên trong pha II tương đương một phiên đơn trong pha I. Tuy nhiên nhiều pha II trao đổi cũng có thể được hỗ trợ bởi một trường hợp pha I. Điều này làm cho các giao dịch IKE thường rất chậm trở nên tương đối nhanh hơn.

Pha IKE thứ hai có tác dụng:

- Thoả thuận các tham số bảo mật IPSec, các tập chuyển đổi IPSec (IPsec Transform Sets) để bảo vệ đường hầm IPSec.

- Thiết lập các thoả thuận bảo mật IPSec SA.

- Định kỳ thoả thuận lại IPSec SA để đảm bảo tính an toàn của đường hầm. - Thực hiện trao đổi Diffie-Hellman bổ sung (tạo ra các khoá mới).

Trước tiên, bên A gửi cho bên B một Thông điệp, đề xuất các SA để bên B lựa chọn, đồng thời trao đổi một khoá bằng thuật toán DH. Thông điệp được đóng gói trong gói tin có khuôn dạng như sau:

IP -Header

UDP Header

ISAKMP

Header Hash SA Proposal

Transfor

m … Proposal Transfor

m KE ID

Hình 2.5 Thông điệp 1 của phase thứ II

Trường Hash mang mã Hash của các trường phía sau nó và các trường này cũng được mã hóa bằng các khoá và thuật toán được thoả thuận từ Phase thứ nhất. Các trường Proposal và Transform mang các thông tin về giao thức và các thuật toán mã hoá, xác thực đề nghị để bên B lựa chọn. Trường KE mang các thông tin về trao đổi khoá bí mật theo thuật toán Diffie-Hellman.

Khi bên B nhận được thông điệp từ A và xác thực nó sau khi tính lại mã Hash, bên B sẽ trả lời lại bên A một thông điệp khác có cấu trúc tương tự như thông điệp mà bên A gửi để thông báo cho bên A biết về giao thức và các thuật toán được sử dụng, các thông tin để trao đổi khoá chung ở trường KE.

Một phần của tài liệu nghiên cứu cơ chế hoạt động của giao thức trao đổi khóa ike(internet key exchange) và ứng dụng trong bảo mật thông tin mạng (Trang 49)

(117 trang)