g cố Tiêu đ AH ề Ti tin ả
2.2.4.3. Giao th c trao đi chìa khoá Internet (IKE) ổ
Trong truy n thông s d ng giao th c IPSec ph i có s trao đ i khóa gi a hai đi mề ử ụ ứ ả ự ổ ữ ể
k t cu i, do đó đòi h i ph i có c ch qu n lý khóa. Có hai phế ố ỏ ả ơ ế ả ương th c chuy n giao khóaứ ể
đó là chuy n khóa b ng tay và chuy n khóa b ng giao th c IKE. M t h th ng IPSec phể ằ ể ằ ứ ộ ệ ố ụ
thu c ph i h tr phộ ả ỗ ợ ương th c chuy n khóa băng tay. Phứ ể ương th c chìa khóa trao tay ch ngứ ẳ
h n khóa thạ ương m i ghi trên gi y. Phạ ấ ương th c này ch phù h p v i s lứ ỉ ợ ớ ố ượng nh cácỏ
m ng, đ i v i m ng l n ph i th c hi n phạ ố ớ ạ ớ ả ự ệ ương th c qu n lý khóa t đ ng. Trong IPSecứ ả ự ộ
người ta dùng giao th c trao đ i chìa khóa IKE (Internet Key Exchange). Giao th c IKEứ ổ ứ
được thi t k ra đ cung c p 5 kh năng:ế ế ể ấ ả
- Cung c p nh ng phấ ữ ương ti n cho hai bên v s th ng nh t nh ng giao th c,ệ ề ự ố ấ ữ ứ
thu t toán và nh ng chìa khoá đ s d ng.ậ ữ ể ử ụ
- Qu n lý nh ng chìa khoá sau khi đả ữ ược ch p nh n.ấ ậ
- Đ m b o r ng s đi u khi n và trao đ i khoá là an toàn.ả ả ằ ự ề ể ổ
- Cho phép s ch ng th c đ ng gi a các đ i tự ứ ự ộ ữ ố ượng ngang hàng. Giao th c IKE có các đ c tính sau:ứ ặ
- Các chìa khoá t phát sinh và nh ng th t c nh n bi t.ự ữ ủ ụ ậ ế
- T đ ng làm m i l i chìa khoá.ự ộ ớ ạ
- Gi i quy t v n đ m t khoá.ả ế ấ ề ộ
- M i m t giao th c an toàn (AH, ESP) có m t không gian ch s an toàn c a chínhỗ ộ ứ ộ ỉ ố ủ
mình.
- G n s n s b o v .ắ ẵ ự ả ệ
Trước khi IPSec g i xác nh n ho c mã hoá d li u IP, gi a bên g i và bên nh n ph iử ậ ặ ữ ệ ữ ử ậ ả
th ng nh t v gi i thu t mã hoá và chìa khoá mã hoá ho c nh ng chìa khoá đ s d ng.ố ấ ề ả ậ ặ ữ ể ử ụ
IPSec s d ng giao th c IKE đ t thi t l p nh ng giao th c đàm phán v nh ng chìa khoáử ụ ứ ể ự ế ậ ữ ứ ề ữ
s d ng cho vi c mã hoá, thu t toán s d ng.ử ụ ệ ậ ử ụ
Liên k t an ninhế
D ch v b o m t quan h gi a hai hay nhi u th c th đ th a thu n truy n thông anị ụ ả ậ ệ ữ ề ự ế ể ỏ ậ ề
toàn được g i là liên k t an ninh SA (Security Association).ọ ế
Liên k t an ninh là m t k t n i đ n công, nghĩa là v i m i c p truy n thông A và Bế ộ ế ố ơ ớ ỗ ặ ề
nào đó có ít nh t hai SA (m t t A t i B và m t t B t i A). Khi l u lấ ộ ừ ớ ộ ừ ớ ư ượng c n truy n tr cầ ề ự
ti p hai chi u qua VPN, giao th c trao đ i khóa IKE thi t l p m t c p SA tr c ti p và sauế ề ứ ổ ế ậ ộ ặ ự ế
đó có th thi t l p thêm nhi u SA khác, m i SA có m t th i gian s ng riêng. SA để ế ậ ề ỗ ộ ờ ố ược nh nậ
d ng duy nh t b i b ba g m có: ạ ấ ở ộ ồ
- Ch s thông s an ninh SPI (Security Parameters Index)ỉ ố ố
- Đ a ch IP đíchị ỉ
- Ch th giao th c an ninh (AH hay ESP)ỉ ị ứ
V nguyên t c, đ a ch IP đích có th là m t đ a ch đ n hề ắ ị ỉ ể ộ ị ỉ ơ ướng (Unicast), đ a chị ỉ
qu ng bá (Broadcast) ho c đ a ch nhóm (Multicast). Tuy nhiên, c ch qu n lý SA c aả ặ ị ỉ ơ ế ả ủ
IPSec hi n nay ch đệ ỉ ược đ nh nghĩa cho nh ng SA đ n hị ữ ơ ướng.
Liên k t an ninh cũng có hai ki u là truy n t i (Transport) và đế ể ề ả ường h m (Tunnel),ầ
ph thu c vào giao th c s d ng. SA ki u truy n t i là m t liên k t an ninh gi a hai tr mụ ộ ứ ử ụ ể ề ả ộ ế ữ ạ
ho c đặ ược yêu c u gi a hai h th ng trung gian d c trên đầ ữ ệ ố ọ ường truy n. Trong trề ường h pợ
khác, ki u truy n t i cũng có th để ề ả ể ược s d ng đ h tr IP-in-IP hay đử ụ ể ỗ ợ ường h m GREầ
qua các SA ki u truy n t i. SA ki u để ề ả ể ường h m là m t SA c b n đầ ộ ơ ả ượ ức ng d ng t i m tụ ớ ộ
đường h m IP. SA gi a hai c ng an ninh là m t SA ki u đầ ữ ổ ộ ể ường h m đi n hình, gi ng nhầ ể ố ư
m t SA gi a m t tr m và m t c ng an ninh. Tuy nhiên, trong nh ng trộ ữ ộ ạ ộ ổ ữ ường h p mà l uợ ư
lượng đã được đ nh hình t trị ừ ước nh nh ng l nh SNMP, c ng an ninh làm nhi m v như ữ ệ ổ ệ ụ ư