Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 15

Tham khảo tài liệu giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 15, công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 15 xét. Các thuật toán để tính ICV là các thuật toán hàm băm một chiều MD5hoặc SHA giống với AH. 2. Chế độ hoạt động IP Hdr Payload Gói tin IP ban đầu ESP Trl ESP IP Hdr Payload ESP Hdr Auth Mã hoá Định danh Gói ESP trong chế độ transport Hình 3.8 Gói ESP trong chế độ Transport ESP cũng được sử dụng ở hai chế độ: Transport và Tunnel - Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao thức lớptrên nhưng không bảo vệ IP Header. Các gói tin IP cũ được cắt phần tiêu đề ra, sauđó tiêu đề ESP được đưa vào giữa. ESP trailer sẽ được đưa vào cuối gói tin, cuốicùng là Authentication Data được đưa thêm vào. Chế độ Transport không mã hoácũng không xác thực IP Header, tuy nhiên nó có chi phí xử lý thấp, chỉ được dùngcho các Host. IP Hdr Payload Gói tin IP ban đầu New IP IP Hdr Payload Gói tin được tạo đường hầm Hdr New IP IP Hdr ESP Payload ESP Trl ESP Auth Hdr Hdr Mã hoá Định danh Hình 3.9 Gói ESP trong chế độ Tunnel - Chế độ Tunnel: Trong chế độ này, gói IP mới được xây dựng cùng với mộtIP Header mới. Các IP Header bên trong mang địa chỉ nguồn và đích cuối cùng,còn IP Header bên ngoài mang địa chỉ định tuyến qua Internet. Ở chế độ này, ESPsẽ bảo vệ cả gói tin IP ban đầu bao gồm: Payload và IP header. Đối với gói IP bênngoài thì vị trí của ESP giống như trong chế độ Transport. 3. Các thuật toán sử dụng trong ESP Các thuật toán bắt buộc bao gồm: - Các thuật toán mật mã: DES ở chế độ CBC, AES, NULL. Thuật toán mãhoá được xác định bởi SA. ESP làm việc với các thuật toán mã hoá đối xứng. Vớisự có mặt của trường Padding, các thuật toán mã hoá có thể có đặc tính khối hoặcluồng. - Các thuật toán xác thực: Mã xác thực bản tin MAC sử dụng MD5, mã xácthực bản tin MAC sử dụng SHA, NULL (Không sử dụng mã xác thực) 4. Xử lý gói tin đầu ra Quá trình xử lý gói đầu ra bao gồm các bước sau: - Tìm kiếm SA: Giống như AH, ESP được thực hiện trên một gói tin chỉ khinào bộ điều khiển IPSec đã xác định gói tin đó được liên kết với một SA. - Mã hoá gói tin: Tuỳ thuộc vào chế độ Tunnel hay Transport mà ESP thựchiện đóng gói toàn bộ gói tin hay chỉ đóng gói phần Payload. Thêm Padding nếucần thiết, mã hoá các trường Payload Data, Padding, PadLength, Next Header theocác thuật toán đã được chỉ ra bởi SA. Nếu dịch vụ xác thực được lựa chọn thì việcmã hoá được thực hiện trước, quá trình mã hoá không bao gồm trườngAuthentication Data. Và quá trình xác thực được thực hiện sau. Thứ tự xử lý nàycho phép nhanh chóng xác định và loại bỏ các gói lỗi hoặc lặp lại mà không cầnphải giải mã gói tin, đồng thời cho phép phía thu xử lý song song cả hai việc: giảimã và xác thực. - Tạo SN: Quá trình này được thực hiện giống với AH. - Tính ICV: Nếu dịch vụ xác thực được lựa chọn thì phía phát sẽ tính các giátrị ICV trên gói dữ liệu ESP gồm các trường sau: SPI, SequenceNumber, PayloadData, Padding, PadLength và Next Header. Trong đó 4 trường cuối ở dạng đã mãhoá. ICV được tính dựa vào các thuật toán xác thực dùng hàm băm một chiều nhưMD5 và SHA-1. - Phân mảnh: Nếu cần thiết thì phân mảnh sẽ được thực hiện sau khi đã xử lýESP. 5. Xử lý gói tin đầu vào Quá trình xử lý gói đầu vào gồm các bước ngược với quá trình xử lý gói tinđầu ra. - Ghép mảnh: Ghép mảnh được thực hiện trước khi xử lý ESP. Nếu một góitin cần xử lý ESP ở dạng phân mảnh thì phía thu phải loại bỏ gói tin đó. - Tìm kiếm SA: Khi nhận được một gói tin chứa ESP Header, phía thu sẽ xácđịnh một SA phù hợp dựa trên địa chỉ đích, giao thức bảo mật và SPI. Nếu khôngthể tìm thấy một SA nào phù hợp cho phiên truyền dẫn này thì phía thu sẽ loại bỏgói tin. - Kiểm tra SN: Giống với kiểm tra SN trong AH. - Kiểm tra ICV: Nếu dịch vụ xác thực được lựa chọn phía thu sẽ tính ICVcủa gói ESP ngoại trừ trường Authentication Data rồi so sánh với ICV của gói tinnhận được. Nếu hai giá trị ICV này trùng nhau thì gói tin là hợp lệ, nếu không góitin sẽ bị loại bỏ. Việc kiểm tra được tiến hành như sau: Trước tiên trườngAuthentication Data được tách ra khỏi ESP và lưu lại, sau đó kiểm tra độ dài góiESP còn lại, nếu Padding đã được ngầm định thì các byte 0 được thêm vào sautrường Next Header sau đó sẽ tính ICV và so sánh với giá trị ICV được lưu trongtrường Authentication Dat ...