Một IPSec SA được xác định là:
- Các thuật toán, khoá, các giao thức xác thực.
- Mô hình và khoá cho các thuật toán xác thực được dùng bởi các giao thức
AH hoặc ESP của IPSec thích hợp.
- Các thuật toán mã hoá, giải mã và các khoá.
- Thông tin liên quan đến khoá như: thời gian thay đổi và thời gian sống của
khoá.
- Thông tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, thời gian
sống.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website:
www.ispace.edu.vn
Email:
ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Đề Tài Tốt Nghiệp
www.oktot.com
Trang 46
Sau đây ta sẽ lần lượt xem xét ba phần của một SA:
Hình 2.26: Mô tả ba trường của một IPSec SA.
Một SA gồm 3 trường:
- SPI(Security Parameter Index): Là một trường 32bit, nó định danh giao
thức bảo mật, được xác định bởi trường giao thức bảo mật(Security
Protocol), từ IPSec thích hợp đang sử dụng. SPI được mang như một phần
trên tiêu đề của giao thức bảo mật và thường được lựa chọn bởi hệ thống
đích trong khi thương lượng thiết lập SA. SPI chỉ có ý nghĩa lôgic, được định
nghĩa bởi người tạo SA. SPI nhận các giá trị trong phạm vi 1 đến 255, giá trị
0 được dùng cho mục đích thực thi đặc biệt cục bộ.
- Địa chỉ IP đích: Đây là địa chỉ IP của Node đích. Mặc dù nó có thể là một
địa chỉ broadcast, unicast hoặc multicast, các cơ chế quản trị SA hiện tại được
định nghĩa chỉ với các địa chỉ unicast.
- Giao thức bảo mật: Trường này mô tả giao thức bảo mật IPSec, nó có
thể là AH hoặc ESP.
Trước khi hai máy chủ có thể liên lạc được với nhau sử dụng giao thức IPSec,
chúng cần thống nhất các hướng dẫn cho phiên làm việc đó (ví dụ như cách xác
thực lẫn nhau hay thuật toán mã hoá hai bên cùng sử dụng). Đây chính là việc
liên kết bảo mật, đó chính là thoả thuận cách thức thống nhất được sử dụng cho
việc bảo mật dữ liệu giữa hai đầu cuối.
Một SA IPSec sử dụng hai cơ sở dữ liệu:
- Cơ sở dữ liệu chính sách bảo mật (SPD): duy trì thông tin về dịch vụ
bảo mật trong một danh sách có thứ tự của các thực thể chính sách vào ra.
Rất giống với các luật và bộ lọc gói tin của Firewall. Các thực thể này định
nghĩa lưu lượng phải được xử lý và lưu lượng được bỏ qua trên các chuẩn
IPSec.
- Cơ sở dữ liệu liên kết bảo mật(SAD): duy trì thông tin liên quan tới mỗi
SA. Thông tin này bao gồm cả các khoá và thuật toán, khoảng thời gian sống
của SA, chế độ giao thức và số tuần tự.
Liên kết bảo mật là đa hướng, có nghĩa là cần thiết lập các liên kết bảo mật khác
nhau cho luồng dữ liệu đi và đến. Thêm vào đó, nếu máy chủ liên lạc với một
hay nhiều máy chủ khác trong cùng một thời điểm thì cũng cần thiết lập từng đó
liên kết. Các liên kết bảo mật được lưu trữ trong cơ sở dữ liệu tại mỗi máy tính
với chỉ số về thông số bảo mật (SPI) cho mỗi phần tiêu đề AH và ESP tương ứng.
Phía nhận sẽ sử dụng các thông số này để quyết định sẽ áp dụng liên kết bảo
mật nào để xử lý gói tin vừa nhận được. Trên thực tế, thủ tục trao đổi khoá
Chia sẻ với bạn bè của bạn: |