Quá trình xử lý gói inbound

Một phần của tài liệu xây dựng thiết bị bảo mật vpn dựa trên giao thức ipsec (Trang 91 - 93)

b)

4.2.1.7 Quá trình xử lý gói inbound

1. Khi nhận được một gói từ mạng public, nếu đó chính là gói IPSEC (ESP hay AH):

a. bảng SAD inbound được tra dựa trên thông số về SPI, địa chỉ đích cũng như protocol thu được trong gói tin. Nếu có SA inbound entry được tìm thấy, gói tin sẽ được xử lý tiếp. Trường hợp không tìm thấy thông tin phù hợp( có cùng SPI và protocol với gói tin) gói tin sẽ bị loại bỏ.

b. Tiến hành giải mã gói tin ESP dựa trên chuẩn RFC 2406 sử dụng key, thuật toán mã hóa (và xác thực) trong SA inbound entry:

 Kiểm tra trong SA inbound entry xem thử gói tin có cần kiểm tra xác thực hay không. Nếu cần, ICV phải được tính toán và so sánh với ICV nhận được ở cuối gói tin. Việc xác thực này được tính toán cho toàn bộ ESP header, IV và gói tin được mã hóa. Quá trình xử lý tiếp tục chỉ khi dữ liệu trong ICV tính được và ICV trong gói tin nhận được giống nhau.

 Cập nhật replay_window: sequence number trong gói tin được cập nhật vào Mục SA. Nếu việc cập nhật được thực hiện thành công, quá trình sẽ được tiếp tục. Trường hợp gói tin đã được nhận trước đó chương trình sẽ không tiến hành xử lý tiếp.

 Trong bước kế tiếp ta tiến hành giải mã gói tin. Thuật toán giải mã và key bí mật được trích xuất từ Mục SA. Bởi vì gói tin được mã hóa sử dụng CBC, nên dữ liệu IV được trích xuất từ gói tin nhận được sử dụng để giải mã gói tin

 Bước cuối được thực thi đó là tăng bộ đếm sequence number trong Mục SA lên một.

c. Nhằm đảm bảo SA được sử dụng là SA chính xác được áp dụng cho gói, thông tin về gói được tra trong bảng SPD với mục SA tương ứng. Việc kiểm tra này sẽ xác nhận mục SPD tương ứng với SA còn giá trị để sử dụng. Điều này nhằm tránh một gói được gửi với SPI giả nhằm buộc việc xử lý gói tin. Nếu SPD inbound trỏ đến một SA khác, gói tin sẽ bị loại bỏ.

d. Sau khi gói IPsec được xử lý thành công, nó sẽ được đưa đến cổng mạng thích hợp.

2. Trường hợp gói nhận được không phải là gói trao đổi IKE quá trình tra đổi IKE sẽ được tiến hành sau đó thông tin tra đổi sẽ được cập nhật vào bảng SAD inbound (kể cả thông tin về lifetime và Sequence number của tunnel).

3. Trường hợp là gói tin đến không phải là gói tin mã hóa IPsec hay IKE, nếu gói tin không phải là gói UDP hay TCP, nó sẽ được chuyển tiếp đến cổng mạng phù

hợp vào bên trong nhằm đảm bảo sự thông suốt của mạng. Trong trường hợp là gói UDP hay TCP, địa chỉ nguồn, địa chỉ đích trong gói tin sẽ được trích xuất nhằm tra thông tin trong bảng SPD inbound. Nếu giá trị trả về là DISCARD gói tin sẽ bị loại bỏ.Nếu giá trị là BYPASS hay không có thông tin về gói tin, gói tin sẽ được chuyển tiếp đến cổng mạng phù hợp.

Một phần của tài liệu xây dựng thiết bị bảo mật vpn dựa trên giao thức ipsec (Trang 91 - 93)

Tải bản đầy đủ (DOC)

(126 trang)
w