5. Dòng lệnh chế độ bảo mật (UIAs, IK, UEAs,
2.2.2.1 Các cơ chế dựa trên IPsec trong mạng 3G
Phần tử cơ bản của bảo mật dựa trên IPsec trong hệ thống 3G là gateway bảo mật (SEG). Các SEG là các thực thể đặt ở các đƣờng biên của các miền bảo mật IP, đƣợc sử dụng để bảo vệ các giao thức dựa trên IP. Tất cả các truyền thông IP mặt phẳng điều khiển đi ra các mạng bên ngoài đều phải đi qua các gateway bảo mật. Một SEG gồm một cơ sở dữ liệu SAD và một cơ sở dữ liệu SPD chỉ thị bằng cách nào và khi nào các SA đƣợc sử dụng hoặc phải đƣợc sử dụng. SEG phải đƣợc bảo vệ về mặt vật lý và thƣờng đƣợc kết hợp với chức năng firewall.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Để đảm bảo lƣu lƣợng IP giữa 2 phần tử mạng NE hoặc là sơ đồ hop-by-hop hoặc là sơ đồ end-to-end đƣợc sử dụng. Trƣớc hết các phần tử mạng NE nguồn thiết lập một đƣờng hầm IPsec đến SEG phù hợp trong cùng miền mạng và chuyển tiếp dữ liệu đến SEG này. SEG cuối đƣờng hầm này gửi dữ liệu qua đƣờng hầm IPsec khác đến mạng phía thu. Đƣờng hầm thứ hai này đƣợc kết nối bởi SEG ở miền mạng phía thu, SEG này sử dụng IPsec để chuyển dữ liệu đến đích cuối cùng của nó (hình 2.13).
Nhận thực node có thể đƣợc hoàn thành sử dụng hoặc là các khóa đối xứng đƣợc chia sẻ trƣớc hoặc là các khóa công khai. Việc sử dụng các khóa đối xứng nghĩa là các KAC hoặc các NE khơng phải thực hiện các thuật tốn tử khóa công khai, cũng nhƣ không cần phải thiết lập hạ tầng khóa công khai. IPsec có thể đƣợc cấu hình hoặc là ở chế độ truyền tải hoặc là ở chế độ đƣờng hầm. Giao thức IPsec luôn là phần tải trọng bảo mật đóng gói, nó có thể cung cấp việc bảo vệ bí mật và toàn vẹn dữ liệu.
Các tham số quan trọng nhất trong SA là: Thuật toán nhận thực (trong AH/ESP); Thuật toán mật mã hóa (trong ESP); Các khóa mật mã hóa và nhận thực; Thời gian tồn tại của các khóa; Thời gian tồn tại của bản thân SA; Số thứ tự bảo vệ phát lặp bản tin. (a) (a) NE Network I SA negotiation by IKE IPsec protection Network II
Hình 2.13: Kiến trúc NDS đối với các giao thức IP
Intermediate IP Network KACI SEGI IP SEGII KACI I IP (a) NE (b)
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn