g cố Tiêu đ AH ề Ti tin ả
2.2.4.1. Giao th c đóng gói ti tin an toàn ESP ả
ESP là giao th c có th đứ ể ượ ử ục s d ng cho vi c cung c p tính b o m t và xác th cệ ấ ả ậ ự
các gói d li u, tránh kh i s nhòm ngó c a ngữ ệ ỏ ự ủ ười dùng không được phép. ESP cung c pấ
ph n t i tin c a gói d li u, ESP cũng cung c p s xác th c cho gói tin IP n i b . S xácầ ả ủ ữ ệ ấ ự ự ộ ộ ự
th c cung c p tính h p l v ngu n g c và tính toàn v n c a gói d li u. ESP là giao th cự ấ ợ ệ ề ồ ố ẹ ủ ữ ệ ứ Được mã hóa
Được xác th cự
Được xác th cự
Được mã hóa Được xác th cự
h tr và ki u mã hoá đ i x ng nh Blowfish, DES. Thu t toán mã hoá d li u m c đ nh sỗ ợ ể ố ứ ư ậ ữ ệ ặ ị ử
d ng trong IPSec là thu t toán DES 56 bit. Trong m t s s n ph m và thi t b m ng c a cácụ ậ ộ ố ả ẩ ế ị ạ ủ
hãng l n thi t k cho VPN còn s d ng phớ ế ế ử ụ ương pháp mã hoá d li u t t h n b ng cách sữ ệ ố ơ ằ ử
d ng thu t toán 3DES (Triple Data Encryption Security) 128 bits. Giao th c ESP có th đụ ậ ứ ể ược s d ng đ c l p ho c k t h p v i giao th c ch ng th c đ u m c AH (Authenticationử ụ ộ ậ ặ ế ợ ớ ứ ứ ự ầ ụ
Header) tuỳ thu c vào t ng môi trộ ừ ường. C hai giao th c ESP và AH đ u cung c p tính toànả ứ ề ấ
v n, s xác th c c a các gói d li u.ẹ ự ự ủ ữ ệ
Các trường c a ESPủ
ESP thêm m t header và trailer vào xung quanh n i dung c a m i gói tin. ESP Headerộ ộ ủ ỗ
đượ ấc c u thành b i hai trở ường là SPI (Security Parameters Index) và Sequence Number.
Hình 2.12 – Các trường c a ESPủ
- SPI (32 bits): Đ u cu i c a m i k t n i IPSec đầ ố ủ ỗ ế ố ược tuỳ ch n giá tr SPI. Phía nh n sọ ị ậ ử
d ng giá tr SPI v i đ a ch IP đích và giao th c IPSec đ xác đ nh chính sách SA duyụ ị ớ ị ỉ ứ ể ị
nh t mà nó đấ ược áp cho gói tin.
- Sequence Number: Thường được dùng đ cung c p d ch v anti-replay. Khi SA để ấ ị ụ ược thi t l p, ch s này đế ậ ỉ ố ược kh i đ u v 0. Trở ầ ề ước khi m i gói tin đỗ ược g i, ch s nàyử ỉ ố
luôn tăng lên 1 và được đ t trong ESP header. Ph n k ti p c a gói tin là trặ ầ ế ế ủ ường t i tin,ả
nó đượ ạc t o b i d li u t i tin đở ữ ệ ả ược mã hoá.
- Ph n th ba c a gói tin là ESP Trailer, nó ch a ít nh t là hai trầ ứ ủ ứ ấ ường:
Padding (0-255 bytes): Được thêm vào cho đ kích thủ ướ ủc c a m i gói tin. ỗ
Pad Length: Chi u dài c a Paddingề ủ
Next Header: Trong tunnel mode, Payload là gói tin IP, giá tr Next Header đị ược cài
giao th c l p 4 là TCP thì trứ ớ ường giao th c trong IP là 6, giao th c l p 4 là UDPứ ứ ớ
thì trường giao th c IP là 17. M i ESP Trailer ch a m t giá tr Next Header.ứ ỗ ứ ộ ị
- Authentication Data: Trường này ch a giá tr ki m tra tính toàn v n ICV (Integrity Checkứ ị ể ẹ
Value) cho gói tin ESP.
Hình 2.13 – M t ví d m u c a ESP Headerộ ụ ẫ ủ
Quá trình mã hoá và ho t đ ng c a giao th c ESPạ ộ ủ ứ
ESP s d ng m t mã đ i x ng đ cung c p s m t hoá d li u cho các gói tin IPSec.ử ụ ậ ố ứ ể ấ ự ậ ữ ệ
Cho nên, đ k t n i c a c hai đ u cu i đ u để ế ố ủ ả ầ ố ề ược b o v b i mã hoá ESP thì hai bên ph iả ệ ở ả
s d ng khóa (Key) gi ng nhau m i mã hoá và gi i mã đử ụ ố ớ ả ược gói tin.
Khi m t đ u cu i mã hoá d li u, nó s chia d li u thành các kh i nh , và sau đóộ ầ ố ữ ệ ẽ ữ ệ ố ỏ
th c hi n thao tác mã hoá nhi u l n s d ng các kh i d li u và khóa. Thu t toán mã hoáự ệ ề ầ ử ụ ố ữ ệ ậ
ho t đ ng trong chi u này đạ ộ ề ược g i là thu t toán mã hóa kh i (blocks cipher algorithms).ọ ậ ố
Hình 2.14 – Minh h a quá trình mã hóa và ho t đ ng c a giao th c ESPọ ạ ộ ủ ứ
Khi m t đ u cu i khác nh n độ ầ ố ậ ược d li u mã hoá, nó th c hi n gi i mã s d ngữ ệ ự ệ ả ử ụ
khóa gi ng nhau và quá trình th c hi n tố ự ệ ương t , nh ng trong bự ư ước này ngược v i thao tácớ
mã hoá. Ví d , ESP s d ng thu t toán mã hoá là AES - Cipher Block Chaining (AES-CBC),ụ ử ụ ậ
AES Counter Mode (AES-CTR), và Triple DES (3DES). Khi so sánh v i gói tin AH, gói tinớ
Protected Payload nh ng không xác đ nh đư ị ược trong ESP Protected Payload, vì trong ESP nó đã được mã hoá.
Hình 2.15 – M t ví d gói ESP khi dùng ph n m m packet snifferộ ụ ầ ề
Gói tin ESP có ch a 5 đo n, bao g m Ethernet Header, IP Header, ESP Header,ứ ạ ồ
Encrypted Data (Payload và ESP Trailer) và Authentication Information (tùy ch n). D li uọ ữ ệ
được mã hoá không th xác đ nh để ị ược dù gói tin được truy n trong Transport Mode hayề
Tunnel Mode. Tuy nhiên, vì IP Header không được mã hoá, trường giao th c IP trong Headerứ
v n phát hi n đẫ ệ ược giao th c dùng cho Payload (trong trứ ường h p này là ESP).ợ