Tải bản đầy đủ - 0 (trang)
Giao thức xác thực tiêu đề (AH)

Giao thức xác thực tiêu đề (AH)

Tải bản đầy đủ - 0trang

34



AH không mang lại sự tin cậy trong một giao dịch. Nó chỉ thêm một tiêu đề vào gói IP,

phần còn lại của nội dung gói dữ liệu được để mặc. Hơn nữa, AH không bảo vệ bất kỳ

trường nào trong tiêu đề IP vì một trong số đó có thể thay đổi trong quá trình truyền, chỉ các

trường nào khơng thay đổi trong q trình truyền là được bảo vệ bởi AH. Địa chỉ IP nguồn

và địa chỉ IP đích là những trường như vậy và vì thế được bảo vệ bởi AH. Tóm lại, giao thức

AH có các đặc trưng cơ bản như sau:

- Cung cấp tính tồn vẹn dữ liệu và bảo vệ chống phát lại

- Sử dụng mã xác thực thông điệp được băm(HMAC), dựa trên chia sẻ bí mật

- Nội dung các gói tin khơng được mã hố

- Khơng sử dụng các trường changeable IP header để tính tốn giá trị kiểm tra tính tồn

vẹn(IVC)

1. Khn dạng gói tin

Khng dạng của gói tin theo giao thức AH được minh hoạ như trong hình 2.4. Các trường

trong AH header đều là bắt buộc.

- Next Header: Trường này nhận biết giao thức bảo mật, có độ dài 8 bít để xác định kiểu

dữ liệu của phần Payload phía sau AH. Giá trị của trường này được chọn từ các giá trị của IP

Protocol number được định nghĩa bởi IANA (Internet Assigned Numbers Authority).

- Payload Length: Trường này chỉ định độ dài của thông điệp gắn sau tiêu đề AH.

AH Header

Payload



IP Header



Next Header



PayloadLength



Reserved



Security Parameter Index(SPI)

Sequence Number

Authentication Data

(Integrity Check Value)



Hinh 2.6 : Tiêu đề AH



35



- Reserved: Trường 16 bit dự trữ để sử dụng cho tương lai, giá trị của trường này bằng 0.

- SPI: Là một số 32 bit bất kì, cùng với địa chỉ IP đích và giao thức an ninh mạng cho phép

nhận dạng một thiết lập an tồn duy nhất cho gói dữ liệu. SPI thường được lựa chọn bởi phía

thu.

- Sequence Number(SN): Trường gồm 32 bit không dấu đếm tăng dần để sử dụng cho

việc chống trùng lặp. Chống trùng lặp là một lựa chọn nhưng trường này là bắt buộc đối với

phía phát. Bộ đếm của phía phát và thu khởi tạo 0 khi một liên kết an toàn (SA) được thiết

lập, giá trị SN mỗi gói trong một SA phải hồn tồn khác nhau để tránh trùng lặp. Nếu số gói

vượt quá con số 232 thì một SA khác phải được thiết lập.

- Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm tra tính tồn vẹn

(ICV) cho gói tin, ICV được tính bằng thuật tốn đã được chọn khi thiết lập SA. Độ dài của

trường này là số nguyên lần của 32 bit, chứa một phần dữ liệu đệm để đảm bảo độ dài của

AH là n*32 bit. Giao thức AH sử dụng một hàm băm và băm tồn bộ gói tin trừ trường

Authentication Data để tính ICV.

2. Chế độ hoạt động

AH có thể sử dụng ở hai chế độ: Chế độ truyền tải (Transport) và chế độ đường

hầm(Tunnel).

- Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao thức lớp trên cùng với

một số trường trong IP Header. Trong chế độ này, AH được chèn vào sau IP Header và trước

một giao thức lớp trên như TCP hoặc UDP. Chế độ Transport thường được sử dụng bởi các

Host chứ không được sử dụng bởi Gateway. Ưu điểm của chế độ này là đỡ tốn kém chi phí

xử lý nhưng nó có khuyết điểm là các trường có thể thay đổi khơng được xác thực.

IP Hdr



Payload



Gói tin IP ban đầu

AH

IP HdrPayload

Hdr

Gói tin với tiêu đề AH trong chế độ transport



36



Hình 2.7. Gói tin IP trước và sau khi xử lý AH trong chế độ Transport

- Chế độ Tunnel: Trong chế độ Tunnel, một gói tin IP khác được thiết lập dựa trên các gói

tin IP cũ. Header của gói IP cũ (bên trong) mang địa chỉ nguồn và đích cuối cùng, còn

Header của gói IP mới (bên ngoài) mang địa chỉ để định tuyến trên Internet. Trong chế độ

này, AH bảo vệ tồn bộ gói tin bên trong bao gồm cả Header. Đối với gói tin IP bên ngồi thì

vị trí của AH như là trong chế độ transport.

IP Hdr



Payload



Gói tin IP ban đầu

OuterIP

Hdr



AH

Hdr



Inner IP

Hdr



Payload



Gói tin AH trong chế độ Tunnel



Hình 2.8: Khn dạng gói tin AH trong chế độ Tunnel.

Ưu điểm của chế độ Tunnel là bảo vệ tồn bộ gói IP và các địa chỉ cá nhân trong IP

Header, tuy nhiên có nhược điểm là tốn chi phí hơn nhiều để xử lý các gói tin.



2.2.2.3. Xử lý AH trong chế độ truyền tải và đường hầm

Hoạt động của AH được thực hiện qua các bước như sau:

Bước 1: Tồn bộ gói IP (bao gồm cả tiêu đề và tải tin) được thực hiện qua một

hàm băm một chiều

Bước 2: Mã băm thu được dùng để xây dựng một tiêu đề AH, đưa tiêu đề này

vào gói dữ liệu ban đầu.

Bước 3: Gói dữ liệu sau khi thêm tiêu đề AH được truyền tới đối tác IPSec.



37



Bước 4: Bên thu thực hiện hàm băm với tiêu đề và tải tin IP, kết quả thu được

một mã băm.

Bước 5: Bên thu tách mã băm trong tiêu đề AH.

Bước 6: Bên thu so sánh mã băm mà nó tính được với mã băm tách ra từ

tiêu đề AH. Hai mã này phải hoàn toàn giống nhau. Nếu chúng khác nhau, bên thu

lập tức phát hiện tính khơng tồn vẹn của dữ liệu.

Việc xử lý AH phụ thuộc vào chế độ hoạt động của IPSec và phiên bản sử

dụng của giao thức IP. Khn dạng của gói tin Ipv4 trước và sau khi xử lý AH

trong hai chế độ truyền tải và đường hầm được thể hiện như hình 3.6.



Hình 2.9. Khn dạng gói tin Ipv4 trước và sau khi xử lý AH

Khn dạng của gói tin IPv6 trước và sau khi xử lý AH được thể hiện như trên

hình 2.7.



38



Hình 2.10. Khn dạng của gói tin IPv6 trước và sau khi xử lý AH



2.2.3. Giao thức đóng gói tải tin an tồn ESP



2.2.3.1. Giao thức ESP

Giao thức ESP được định nghĩa trong RFC 1827 và sau đó được phát triển

thành RFC 2408. Cũng như AH, giao thức này được phát triển hoàn toàn cho Ipsec.

ESP được sử dụng khi có yêu cầu về bảo mật của lưu lượng IPSec cần truyền. Nó

cung cấp tính bảo mật dữ liệu bằng việc mật mã hóa các gói tin. Thêm vào đó, ESP

cũng cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính tồn vẹn dữ liệu, dịch vụ

chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật.

Tập các dịch vụ cung cấp bởi ESP phụ thuộc vào các lựa chọn tại thời điểm

thiết lập liên kết an ninh, trong đó dịch vụ bảo mật được cung cấp độc lập với các



39



dịch vụ khác. Tuy nhiên, nếu không kết hợp sủ dụng các dịch vụ xác thực và tồn

vẹn dữ liệu thì hiệu quả bảo mật sẽ không được đảm bảo. Hai dịch vụ xác thực và

tồn vẹn dữ liệu ln đi kèm nhau. Dịch vụ chống phát lại chỉ có thể thực hiện nếu

như dịch vụ xác thực được lựa chọn.



Hình 2.11. Cơ chế đóng gói ESP



Hoạt động của ESP khác với AH. ESP đóng gói tất cả hoặc một phần dữ liệu

gốc. Do hỗ trợ tốt khả năng bảo mật nên ESP có xu hướng được sử dụng rộng rãi

hơn AH.

2.2.3.2. Cấu trúc gói tin ESP

Cấu trúc gói tin ESP được thể hiện trên hình 2.9 . Các trường trong gói tin

ESP có thể là bắt buộc hay tùy chọn. Những trường bắt buộc ln có mặt trong tất

cả các gói ESP. Việc lựa chọn một trường tùy chọn được định nghĩa trong quá trình



40



thiết lập liên kết an ninh. Như vậy, khuôn dạng ESP đối với một SA là cố định

trong khoảng thời gian tồn tại của SA đó.



Hình 2.12. Khn dạng gói ESP

Ý nghĩa của các trường trong cấu trúc gói tin ESP.

Chỉ số thơng số an ninh (SPI): Là một số bất kỳ 32 bit, cùng với địa chỉ IP

đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu.

Các giá trị SPI từ 0 đến 255 được dành riêng để sử dụng trong tương lai. SPI là

trường bắt buộc và thường được lựa chọn bởi phía thu khi thiết lập SA.

Số thứ tự :Tương tự như trường số thứ tự của AH

Dữ liệu tải tin : Đây là trường bắt buộc, bao gồm một số lượng biến đổi các

byte dữ liệu gốc hoặc một phần dữ liệu yêu cầu bảo mật đã được miêu tả trong

trường Next Header. Trường này được mã hóa cùng với thuật tốn mã hóa đã lựa

chọn trong suốt quá trình thiết lập SA. Nếu thuật tốn u cầu các véc-tơ khởi tạo



41



thì nó cũng được bao gồm ở đây. Thuật toán thường được dùng để mã hóa ESP là

DES-CBC. Đơi khi các thuật tốn khác cũng được hỗ trợ như 3DES hay CDMF.

Đệm : Có nhiều nguyên nhân dẫn đến sự có mặt của trường đệm như :

+ Nếu thuật toán mật mã sử dụng yêu cầu bản rõ phải là số nguyên lần các

khối byte (ví dụ trường hợp mã khối) thì trường đệm được sử dụng để điền đầy đủ

vào phần bản rõ (bao gồm cả Payload Data, Pad Length, Next Header và Padding)

sao cho đạt tới kích thước theo yêu cầu.

+ Trường đệm cũng cần thiết để đảm bảo phần dữ liệu bảo mật (Cipher-text)

sẽ kết thúc ở biên giới số nguyên lần của 4 byte nhằm phân biệt rõ ràng với trường

dữ liệu xác thực.

+ Ngồi ra, trường đệm còn có thể sử dụng để che dấu độ dài thực của dải tin,

tuy nhiên mục đích này cần phải được cân nhắc vì nó ảnh hưởng tới băng thơng

truyền dẫn.

Độ dài đệm : Trường này xác định số byte đệm được thêm vào. Pad Length là

trường bắt buộc với các giá trị phù hợp nằm trong khoảng từ 0 đến 255.

Tiêu đề kế tiếp Next Header là trường bắt buộc và có độ dài 8 bit. Nó xác định

kiểu dữ liệu chứa trong phần tải tin, ví dụ một tiêu đề mở rộng trong IPv6 hoặc

nhận dạng của một giao thức lớp trên khác. Giá trị của trường này được lựa chọn từ

tập các giá trị IP Protocol Number định nghĩa bởi IANA.

Dữ liệu xác thực : Trường này có độ dài biến đổi, chứa một giá trị kiểm tra

tính tồn vẹn ICV tính trên dữ liệu của tồn bộ gói ESP trừ trường hợp

Authentication Data. Độ dài của trường này phụ thuộc vào thuật toán xác thực

được sử dụng. Trường này là tùy chọn, và chỉ được thêm vào nếu dịch vụ xác thực

được lựa chọn cho SA đang xét. Thuật toán xác thực phải chỉ ra độ dài ICV, các



42



bước xử lý cũng như các luật so sánh cần thực hiện để kiểm tra tính tồn vẹn của

gói tin.

2.2.3.3. Xử lý ESP trong chế độ truyền tải và đường hầm

Việc xử lý ESP phụ thuộc vào chế đọ hoạt động của IPSec và phiên bản sử

dụng của giao thức IP. Khn dạng của gói tin IPv4 trước và sau khi xử lý ESP

trong hai chế độ truyền tải và đường hầm được thể hiện trên hình 2.10.



Hình 2.13. Khn dạng gói tin IPv4 trước và sau xử lý ESP

Khn dạng của gói tin IPv6 trước và sau khi xử lý ESP được thể hiện trên

hình 2.13.



43



Hình 2.14. Khn dạng gói tin IPv6 trước và sau khi xử lý ESP

IPSec có thể hỗ trợ cả AH và ESP trong một tổ hợp cho phép cả hai chế độ

truyền tải và đường hầm. Ví dụ, có thể sử dụng chế độ đường hầm để mã hóa xác

thực các gói và tiêu đề của nó rồi gắn AH hoặc ESP, hoặc cả hai trong chế độ

truyền tải để bảo mật cho tiêu đề mới được tạo ra. AH và ESP không thể sử dụng

chung trong chế độ đường hầm bởi vì ESP đã có cơ chế tùy chọn xác thực. Tùy

chọn này được sử dụng trong chế độ đường hầm khi các gói cần phải mã hóa và

xác thực.

2.2.3.4. Mã hóa với ESP

Các thuật toán mật mã

Các thuật toán mật mã được xác định bởi SA. ESP làm việc với các thuật tốn

mật mã đối xứng. Vì các gói IP có thể đến khơng đúng thứ tự, nên mỗi gói phải

mang thơng tin cần thiết để phía thu có thể thiết lập đồng bộ mật mã để giải mã. Dữ

liệu này có thể được chỉ định trong trường Payload, chẳng hạn dưới dạng các véc-



44



tơ khởi tạo IV ,hoặc thu được từ tiêu đề của gói. Với sự có mặt của trường Padding,

các thuật tốn mật mã sử dụng với ESP có thể có các đặc tính khối (Block) hoặc

luồng (Stream). Vì dịch vụ mật mã là tùy chọn nên thuật toán mật mã là khơng bắt

buộc.

Các thuật tốn xác thực sử dụng để tính ICV được xác định bởi SA. Đối với

truyền thơng tới điểm, các thuật tốn xác thực thích hợp có thể là hàm băm một

chiều như MD5 hay SHA-1. Vì dịch vụ xác thực là tùy chọn nên thuật tốn xác

thực là khơng bắt buộc.

Các trường hợp có thể được sử dụng với ESP

- DES, 3DES trong chế độ CBC ;

- HMAC với MD5 ;

- HMAC với SHA-1 ;

- Khơng thuật tốn xác thực ;

- Khơng thuật tốn mật mã.

Ngồi những thuật tốn kể trên, một số thuật tốn khác cũng có thể được hỗ

trợ. Lưu ý là ít nhất một trong hai dịch vụ mật mã hoặc xác thực phải được thực

hiện, do đó hai thuật tốn xác thực và mật mã không được đồng thời không có.

Q trình giải mã

Nếu ESP sử dụng mật mã thì sẽ phải thực hiện q trình giải mã gói. Nếu dịch

vụ mật mã khơng được sử dụng, tại phía thu khơng có q trình giải mã này. Q

trình giải mã gói diễn ra như sau :



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Giao thức xác thực tiêu đề (AH)

Tải bản đầy đủ ngay(0 tr)

×