MỤC LỤC
MỤC LỤC . 2
BẢNG CÁC TỪ VIẾT TẮT . 3
Chương 1: GIỚI THIỆU CHUNG VỀ QUẢN LÝ KHOÁ . 4
1. Quản lý khóa là gì? tại sao phải quản lý khóa? . 4
1) Quản lý khóa là gì? . 4
2) Tại sao phải quản lý khóa? . 5
2. Các phương pháp quản lý khóa. 6
1) Mã hóa dữ liệu. . 6
2) Public Key Infrastructure . 11
Chương 2: NGUYÊN TẮC HOẠT ĐỘNG. 14
1. Xác nhận thông tin, thiết lập kênh bảo mật cho SA. . 14
2. Thiết lập SAs cho IPSec . 15
1. Các giai đoạn hoạt động của IKE (IKE Phases) . 15
2. Cơ chế hoạt động của 2 protocol ESP và AH. 16
3. Bốn chế độ IKE phổ biến: . 18
1) Main Mode. 18
2) Aggressive Mode. 20
3) Quick Mode . 22
4) New Group Mode . 22
Chương 3: ỨNG DỤNG . 24
1. Chứng thực cho người dùng bí mật . 24
2. Chứng thực với những chữ ký. . 26
3. Chứng thực với sự mã hóa chìa khóa công cộng. . 27
Chương 4: KẾT LUẬN. 28
28 trang |
Chia sẻ: lethao | Lượt xem: 2198 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Đề tài Quản lý khóa trong VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ho
tới khi xác định được từ khóa chính xác. Với những khóa có kích thước nhỏ, sẽ
dễ dàng để phát sinh ra chính xác từ khóa và phá vở hệ thống mật mã.
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
8
Chú ý : Tên chính thức của DES là Federal Information Processing Standard
(FISP) (Tiêu chuẩn xứ lý thông tin liên bang (Hoa kỳ).
+ Bội ba tiêu chuẩn mã hóa dữ liệu (Triple Data Encryption Standard
(3DES)). Cũng giống như DES, 3DES cũng sử dụng khóa 56 bit. Tuy nhiên, nó
an toàn hơn nhiều do dùng 3 khóa khác nhau để mã hóa dử liệu. Bộ xử lý thực
hiện các bước sau : khóa đầu tiên dùng để mã hóa dữ liệu. Sau đó, khóa thứ hai
sẽ dùng để giải mã dữ liệu vừa được mã hóa. Cuối cùng, khóa thứ ba sẽ mã hóa
lần thứ hai. Toàn bộ quá trình xử lý của 3DES tạo thành một thuật giải có độ an
toàn cao. Nhưng bởi vì đây là một thuật giải phức tạp nên thời gian thực hiện sẽ
lâu hơn, gấp 3 lần so với phương pháp DES.
+ Ron's Code 4 (RC4). Được phát triển bởi Ron Rivest, thuật giải này sử
dụng những từ khóa với chiều dài có thể biến đổi lên đến 256 bytes. Bởi vì chiều
dài của khóa, RC4 được phân loại là một cơ chế mã hóa mạnh. Nó cũng tương
đối khá nhanh. RC4 tạo một dòng bytes ngẩu nhiên và XORs chúng với văn bản
nguyên mẩu. Bởi vì các bytes được phát sinh ngẩu nhiên, RC4 đòi hỏi một khóa
mới cho mổi lần gởi thông tin ra ngoài.
Hệ thống mã hóa đồng bộ đưa ra 2 vấn đề chính. Đầu tiên, bởi vì một khóa vừa
được dùng để mã hóa vừa dùng để giả mã, nếu nó bắt đầu trở thành kẻ xâm
nhập, thì tất cả những thông tin sữ dụng khóa này sẽ bị huỷ. Vì thế, khóa nên
thường xuyên thay đổi theo định kỳ.
Một vấn đề khác là khi hệ thống mã hóa đồng bộ xữ lý một lượng thông tin lớn,
việc quả lý các khóa sẽ trở thành một công việc vô cùng khó khăn. Kết hợp với
việc thiết lặp các cặp khóa, phân phối, và thay đổi theo định kỳ đều đòi hỏi thời
gian và tiền bạc.
Hệ hống mã hóa đối xứng đã giải quyết vấn đề đó bằng việc đưa ra hệ thống mã
hóa đối xứng. Đồng thời, họ cũng tăng tính năng bảo mật trong suốt quá trình
chuyển vận. Chúng ta sẽ được tham khảo thêm về hệ thống mã hóa bất đối
xứng ở phần sau.
b. Hệ Thống Mã Hóa Bất Đối Xứng (Asymmetric Cryptosystems).
Thay vì sử dụng một khóa đơn trong hệ thống mã hóa đối xứng, hệ thống mã
hóa bất đối xứng sử dụng một cặp khóa có quan hệ toán học. Một khóa là riêng
tư, chỉ được chính chủ nhân. Khóa thứ hai thì được phổ biến, công cộng và phân
phối tự do. Khóa công cộng thì được dùng để mã hóa và ngược lại khóa riêng thì
được dùng để giải thông tin.
Trong VPN, 2 hệ thống mã hóa bất đối xứng được dùng phổ biến là thuật toán
Diffie-Hellman (DH) và thuật toán Rivest Shamir Adleman (RSA).
c. Thuật toán Diffie-Hellman
Trong thuật toán DH, mổi thực thể giao tiếp nhận được một cặp khóa, một được
phân phối tới những thực thể thông tin khác và một được giữ lại riêng. Thuật
toán DH làm việc theo những vấn đề chính sau :
1. Người gửi nhận khóa công cộng của người nhận, do khóa này là khóa công
cộng nên đều được mọi người biết.
2. Người gửi thực hiện một thao tác gộp khóa riêng và khóa công công của
người nhận, kết quả cho ra một khóa chung bảo mật (shared secret key).
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
9
3. Thông điệp sẽ được mã hóa bằng khóa vừa nhận được.
4. Sau đó thông điệp mã hóa sẽ được gửi đến người nhận.
5. Trong qua trình nhận thông điệp mã hóa, bên nhận sẽ phát sinh một khóa
chung mật khác cũng bằng thao tác tương tự gộp chính khóa riêng của mình với
khóa chung của bên gửi.
Giả định cơ bản của thuật toán này là nếu bất kỳ một ai bắt được thông điệp mã
hóa, người đó cũng không thể nào giải mã được bởi vì anh hoặc cô ta không xữ
lý khóa riêng của bên nhận được (khóa riêng của anh hoặc cô ta). Dữ liệu được
trao đổi dựa trên thuật toán Diffie-Hellman được mô tả ở hình 3-4.
Hình 4: Data exchange as defined by the Diffie-Hellman algorithm.
Mặc dù thuật toán DH có một độ an toàn cao hơn so với hệ thống mã hóa đối
xứng, nhưng cũng gặp một số vấn đề khó khăn. Phải đảm bảo chắc chắn rằng
khóa công cộng phải được trao đổi trước khi quá trình trao đổi dữ liệu thực sự
được xác định. Cho ví dụ : nếu 2 bên trao đổi khóa công cộng cho nhau qua môi
trường không an toàn, như Internet, điều đó có thể làm cho khóa công cộng có
thể bị bắt giữ trước bởi một người xâm phạm nào đó, sau đó người này sẽ gửi
khóa công cộng của mình cho cả hai bên đầu cuối đang thực hiện trao đổi .
Trong trường hợp này, người xâm nhập sẽ dễ dàng mắc vào nghe lén thông tin
của hai bên đầu cuối bởi vì cả hai bên đầu cuối đều trao đổi dữ liệu thông qua
khóa công cộng của người xâm phạm. Đây là một dạng xâm nhập được biết như
một kiểu tấn công Man-in-the-Middle.
Thuật toán Rivest Shamir Adleman (RSA), sẽ được tham khảo tiếp theo sau sẽ
giải quyết hiệu quả phương pháp tấn công Man-in-the-Middle mà đã nảy ra trong
thuật toán DH. Thuật toán RSA nổi lên như là một cơ chế mã hóa bất đối xứng
khá mạnh.
d. Thuật toán Rivest Shamir Adleman (RSA)
Thuật toán RSA triển khai quá trình xác nhận bằng cách sử dụng chữ ký điện tử
theo các bước sau :
1. Khóa công cộng của người gửi được yêu cầu và được dùng cho người
nhận và sau đó được chuyễn hướng về phía trước (forward).
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
10
2. Người gửi sử dụng hàm băm để làm giảm kích thước mẩu tin gốc.
Thông điệp tổng hợp thì được hiểu như là một thông điệp phân loại
(message digest (MD)).
3. Người gửi mã hóa thông điệp phân loại bằng khóa riêng của nó được
rút ra từ sự phát sinh chữ ký điện tử độc nhất.
4. Thông điệp và chữ ký điện tử được kết hợp và chuyễn hướng đến
người nhận.
5. Trong lúc nhận thông điệp mã hóa, người nhận phục hồi lại thông điệp
phân loại bằng cách sử dụng cùng một hàm băm như người gửi.
6. Người nhận sau đó giải mã chữ ký điện tử bằng cách sử dụng khóa
công cộng của người gửi.
7. Người nhận sau đó sẽ so sánh thông điệp phân loại vừa được phục hồi
(bước 5) và thông điệp phân loại nhận được từ chữ ký điện tử (bước 6).
Nếu cả hai đồng nhất, tức là dữ liệu không bị chặn đứng, giả mạo hoặc
chỉnh sửa trong suốt quá trình trao đổi. Ngược lại, dữ liệu sẽ không được
chấp nhận, bị từ chối.
Hình 5: Data exchange as defined by the RSA algorithm.
RSA bảo đảm an toàn và bảo mật trong chuyến đi của dữ liệu bởi vì người nhận
kiểm tra sự đúng đắn của dữ liệu qua 3 lần (bước 5, 6 và 7). RSA cũng làm đơn
giản hóa công việc quản lý khóa. Trong cách mã hóa đối xứng, n2 khóa được
yêu cầu nếu trong quá trình trao đổi có n thực thể. Bằng cách so sánh, cách mã
hóa bất đối xứng chỉ đòi hỏi 2*n khóa.
Như bạn có thể nhận xét, cả hai quá trình gia dịch đối xứng và bất đối xứng đều
dựa trên cơ sở của mối quan hệ ủy nhiệm một chiều (one-way trust
relationship). Public Key Infrastructure (PKI), là một khía cạnh khác, cải tiến cách
ủy nhiệm giữa hai thực thể giao tiếp, để bảo đảm tính xác thực của các thực thể
có liên quan và bảo đảm chắc chắn tính bảo mật cho các phiên trao đổi dữ liệu
trên Internet (VPN).
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
11
2) Public Key Infrastructure
PKI là một khuôn khổ của những chính sách để quản lý những khóa và thiết lập
một phương pháp an toàn cho sự trao đổi dữ liệu. Để cải tiến việc quản lý các
khóa và tính bảo mật cao trong các cuộc trao đổi dữ liệu. Một PKI được dựa trên
khuôn khổ bao gồm những chính sách và thủ tục được hổ trợ bởi các tài nguyên
phần cứng và phần mềm. Những chức năng chính của PKI sau đây :
+ Phát sinh một cặp khóa riêng và khóa chung cho PKI client.
+ Tạo và xác nhận chữ ký điện tử.
+ Đăng ký và xác nhận những người dùng mới.
+ Cấp phát chứng nhận cho người dùng.
+ Đánh dấu những khóa đã cấp phát và bảo trì quá trình sử dụng của
mổi khóa (được dùng để tham khảo về sau).
+ Hủy bỏ những đăng ký sai và hết hạn.
+ Xác nhận PKI client.
Trước khi tìm hiểu PKI làm việc như thế nào, chúng ta hãy tìm hiểu một số thành
phần cấu thành khuôn khổ cho PKI.
a. Một số thành phần PKI:
+ PKI client.
+ Certification Authority (CA).
+ Registration Authority (RA).
+ Digital certificates.
+ Certificate Distribution System (CDS).
b. PKI-based Transactions
Như đã nói ở phần trước, PKI đưa ra 4 chức năng bảo mật chính : tính bảo
đảm(confidentiality), tính nguyên vẹn (integrity), tính xác thực (authenticity), và
không từ chối. Mổi bước trong quá trình trao đổi dựa trên PKI lặp lại một hoặc
nhiều lần những đặc tính bảo mật. Bao gồm một số bước sau :
1. Key pair generation. Trước khi người gửi chuyển dữ liệu đến cho người
nhận mong muốn, nó báo cho người nhận biết ý định muốn trao đổi dữ
liệu. Kết quả là, cả hai phía đều phát sinh 1 cặp khoá tạo nên một khóa
riêng và một khóa chung. Đầu tiên, khóa riêng phát sinh ra trước. Sau đó,
khóa chung tương ứng sẽ được tạo bằng cách áp dụng hàm băm một
chiều đối với khóa riêng.
Ghi chú :
Trong PKI transactions cũng như trong RSA-based transactions, khóa riêng đều
được dùng để ký hiệu thông tin. Khóa chung, ở một khía cạnh khác, được dùng
để xác nhận chữ ký.
2. Quá trình phát sinh chữ ký điện tử (Digital Signature generation). Sau
khi cặp khóa đã được tạo, một chữ ký điện tử duy nhất cũng được tạo ra.
Chữ ký này được dùng để nhận dạng dữ liệu của người gửi. Để tạo ra
chữ ký, đầu tiên thông điệp cơ bản sẽ bị băm ra. Nói cách khác, một hàm
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
12
băm được áp dụng vào thông điệp cơ bản. Quá trình xữ lý hàm băm này
tạo ra một thông điệp phân loại, sẽ được mã hóa sau đó bằng khóa riêng
của người gửi. Kết quả được biết như một chữ ký điện tử.
3. Mã hóa thông điệp và gắn chữ ký điện tử (Message encryption and
digital signature application). Sau khi một chữ ký điện tử được hình
thành, thông điệp cơ bản được mã hóa bằng khóa chung của người gửi.
Kế tiếp, chữ ký được tạo trước đó sẽ được gắn kèm vào thông điệp mã
hóa.
4. Mã hóa thông điệp và gửi khóa chung của người gửi đến người
nhận. Thông điệp đã được mã hóa sau đó sẽ được chuyển đến người
nhận, kèm với khóa chung của người gửi. Thay vì chuyển khóa chung
dưới dạng văn bản thuần túy, đầu tiên khóa chung sẽ được mã hóa với
khóa chung của người nhận. Để giải mã khóa chung đã được mã hóa,
người nhận phải dùng chính khóa riêng của mình. Bởi vì khóa riêng của
người nhận chỉ có mỗi người nhận mới biết, khả năng mà kẻ xâm nhập
bất hợp pháp thay đổi khóa chung, là rất nhỏ. Khóa chung của người gửi
cũng được xem như một phiên khóa (session key).
5. Quá trình nhận thông điệp và gửi sự kiểm chứng xác nhận. Trong quá
trình nhận thông điệp mã hóa và khóa chung phía trên. Người nhận có thể
đòi hỏi CA tương ứng để xác nhận người gửi. CA sẽ làm việc này bằng
cách xác nhận chữ ký điện tử được gắn kèm theo thông điệp và thông
báo với người nhận kết quả. Nếu chữ ký được chứng nhận thành công,
người nhận tiếp tục quá trình xữ lý giải mã thông điệp. Nếu không thì,
thông điệp nhận được sẽ bị loại bỏ và quá trình giao dịch (VPN session)
kết thúc.
6. Giải mã thông điệp. Sau khi nhận dạng người gửi thành công, người
nhận sẽ giải mã thông điệp. Để làm việc này, đầu tiên người nhận sẽ giải
mã khóa chung của người gửi bằng cách sử dụng chính khóa riêng của
mình. Khi khóa chung của người gửi được lấy lại thành công, người nhận
dùng nó để giải mã thông điệp.
7. Kiểm tra nội dung thông điệp. Cuối cùng, người nhận xác nhận nội dung
của thông điệp vừa nhận. Đầu tiên, chữ ký điện tử được giải mã bằng
cách sử dụng khóa chung của người gửi và thông điệp phân loại được
phục hồi. Thông điệp giải mã sau đó được băm bằng cách sử dụng hàm
băm và một thông điệp phân loại mới được trích ra. Sau đó so sánh thông
điệp phân loại vừa nhận và thông điệp phân loại vừa mới được phát sinh.
Nếu chúng tương đồng, dữ liệu sẽ không bị chặn và làm xáo trộn trong lúc
trao đổi.
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
13
Hình 6: A generic representation of a PKI-based transaction.
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
14
Chương 2: NGUYÊN TẮC HOẠT ĐỘNG
1. Xác nhận thông tin, thiết lập kênh bảo mật cho SA.
Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một
kênh bảo mật cho sự thiết lạp SA. Tiếp đó, các bên thông tin thỏa thuận một
ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các
phương pháp xác nhận bảo vệ mã khóa.
Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí
mật được phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa
bí mật :
- Giá trị Diffie-Hellman
- SPI của ISAKMP SA ở dạng cookies
- Số ngẩu nhiên known as nonces (used for signing purposes)
Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng
cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát
sinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo
cách này, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất
kỳ khóa nào thông qua mạng.
THƯƠNG LƯỢNG MỘT LIÊN KẾT BẢO MẬT ( Security Association)
Các Administrator không nên quan tâm đến các đặc điểm mang tính cá nhân của
Policy . Cả hai Computer tiến hành thương lượng bảo mật cần phải có những
chính sách bổ sung. Nếu 2 computer có thể thương lượng thành công, IPSEC sẽ
được sử dụng. Nếu thương lượng không thành công do bất đồng về chính sách,
2 computer có thể không tiếp tục giao tiếp hoặc chấp nhận giao tiếp không an
toàn.
Ví dụ về cách thức hoạt động của các policy giửa 2 Computer A và B:
- Computer A yêu cầu ESP cho các giao tiếp HTTP, Computer B yêu cầu AH cho
HTTP, như vậy 2 computer sẽ không thể thương lượng một liên kết bảo mật.
- Giao thức xác thực Kerberos là phương thức xác thực mặc định cho cả 3
phương thức đã trình bày. Kerberos protocol, được các Computer trong cùng
Active directory forest sử dụng , nếu một trong 2 Computer không cùng AD
Forest, thì không thể thương lượng được phương thức bảo mật. Tương tự, khi
Computer A dùng Kerberos, Computer B dùng Certificates làm phương thức xác
thực IP traffic, thương lựong cũng sẽ không được thiết lập. Tuy nhiên chúng ta
có thể trang bị cho computer A hoặcc B nhiều phương thức xác thực (cả
Kerberos và Certificates..), chỉ cần gặp một phương thức xác thực tương đồng
giữa 2 Computer, xác thực sẽ bắt đầu.
Lấy chính sách mặc định Secure Server (require Security) làm ví dụ. Nếu
Computer A xác định dùng chính sách này, nó sẽ không thể giao tiếp với bất kì
Computer nào không được trang bị IPSEC. Ví dụ: Computer A yêu cầu kết quả
truy vấn từ DNS server của AD Domain (DNS server không dùng IPSEC), truy
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
15
vấn sẽ không được thực hiện. Computer A cần truy cập SQL server (không dùng
IPSEC), cũng không thể truy cập. Nếu Computer A dùng chính sách Server
(request Security), giao tiếp không an toàn với các Computer không trang bị vẫn
có thể thực hiện. Trong thực tế, các chính sách IPSEC nên được triển khai để
bảo mật những thông tin quan trọng, và cho phép những giao tiếp cơ bản có thể
thực hiện.
CÁC CHÍNH SÁCH IPSEC HOẠT ĐỘNG VỚI NHAU NHƯ THẾ NÀO
Trước khi trao đổi key để thiết lập 1 kênh truyền ảo IPSEC sẽ làm nhiệm
vụ là xác thực xem mình đang trao đổi với ai ?
Các phương pháp Peer Authentication :
- Username password
- OTP (One time password)
- Biometric (Xác thực bằng sinh học)
- Preshared keys
- Digital certificate (chữ ký số) phương pháp này thường được dùng trong chính
phủ điện tử .
Như đã nói ở trên giao thức IKE sẽ có chức năng trao đổi key giữa các thiết bị
tham gia VPN và trao đổi chính sách an ninh giữa các thiết bị . Và nếu không có
giao thức này thì người quản trị phải cấu hình thủ công .
Và những chính sách an ninh trên những thiết bị này (SA )
Do đó các thiết bị trong quá trình IKE sẽ trao đổi với nhau tất cả những SA mà
nó có . Và giữa các thiết bị này sẽ tự tìm ra cho mình những SA phù hợp với
đối tác nhất
Những key được trao đổi trong quá trình IKE cũng được mã hóa và những key
này sẽ thay đổi theo thơi gian (generate key)
2. Thiết lập SAs cho IPSec
1. Các giai đoạn hoạt động của IKE (IKE Phases)
- IKE Phases 1 (Bắt buộc xảy ra trong quá trình IKE)
Bước 1 : Xác thực giữa các thiết bị tham gia VPN (Authentication the peers)
Bước 2 : Trao đổi các SA
Và Phases 1 này có 2 chế độ hoạt động là Main mode (Cần 6 mess để hoàn
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
16
thành các bước 1&2) và Aggressive mode (Cần 3 mess đển hoàn thành các
bước 1&2)
Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một
kênh bảo mật cho sự thiết lạp SA. Tiếp đó, các bên thông tin thỏa thuận một
ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các
phương pháp xác nhận bảo vệ mã khóa.
Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí
mật được phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa
bí mật :
· Giá trị Diffie-Hellman
· SPI của ISAKMP SA ở dạng cookies
· Số ngẩu nhiên known as nonces (used for signing purposes)
Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng
cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát
sinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo
cách này, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất
kỳ khóa nào thông qua mạng.
Đến lúc này nếu muốn trao đổi với ai thì nó sẽ trao đổi SA IPSec với người đó
và dữ liệu được gửi trên đường truyền được mã hóa dựa vào SA Ipsec này.
2. Cơ chế hoạt động của 2 protocol ESP và AH
Bộ giao thức Ipsec thì ngoài IKE còn có ESP và AH là 2 giao thức chính trong
việc mã hóa & xác thực dữ liệu .
a. Khái quát
ESP sử dụng IP protocol number là 50 (ESP được đóng gói bởi giao thức IP và
trường protocol trong IP là 50)
AH sử dụng IP protocol number là 51 (AH được đóng gói bởi giao thức IP và
trường protocol trong IP là 51 )
Bộ giao thức Ipsec hoạt động trên 2 mode chính là Tunel Mode và Transport
Mode Tunel Mode
Khi bộ giao thức Ipsec hoạt động ở mode này thì sau khi đóng gói dữ liệu và giao
thức ESP mã hóa toàn bộ payload , frame header , ip header thì nó sẽ thêm 1 IP
header mới và gói packet trước khi forward đi .
Transports Mode
Khi bộ giao thức Ipsec hoạt động ở mode này thì IP header vẫn được giữ nguyên
và lúc này giao thức ESP sẽ chèn vào giữa payload và IP header của gói tin .
Giao thức này rất hay được sử dụng khi những người quản trị mạng có tạo thêm
1 tunnel GRE (Generic Routing Encapsulation) . Còn tunnel GRE là gì tôi sẽ giải
thích trong một TUT khác .
Tất cả gói tin được mã hóa bởi Ipsec đều là khóa đối xứng (symetric key)
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
17
b. ESP và AH Header
Đây là hình minh họa việc đóng gói dự liệu bằng 2 protocol Esp và AH .
Trên cùng là gói dữ liệu nguyên thủy bao gồm Data và Ip Header .
- Nếu sử dụng giao thức ESP :
Thì giao thức ESP sẽ làm công việc là mã hóa ( encryption ) , xác thực (
authentication ) , bảo đảm tính trọn vẹn của dữ liệu ( Securing of data ) . Sau khi
đóng gói xong bằng ESP mọi thông tin về mã hóa và giải mã sẽ nằm trong ESP
Header .
Các thuật toán mã hóa bao gồm DES , 3DES , AES
Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1
ESP còn cung cấp tính năng anti-relay để bảo vệ các gói tin bị ghi đè lên nó.
- Nếu sử dụng giao thức AH
Thì giao thức AH chỉ làm công việc xác thực ( authentication ) và bảo đảm tính
trọn vẹn dự liệu . Giao thức AH không có chức năng mã hóa dự liệu . Do đó AH
ít được dùng trong IPSec vì nó không đãm bảo tính an ninh .
* AH xác thực và đảm bảo tính trọn vẹn dự liệu
Dưới đây là hình minh họa về cơ chế xác thực của giao thứ AH
Bước thứ 1 : Giao thức AH sẽ đem gói dữ liệu ( packet ) bao gồm payload + Ip
header + Key
Cho chạy qua 1 giải thuật gọi là giải thuật Hash và cho ra 1 chuỗi số . Các bạn
nhớ đây là giải thuật 1 chiều , nghĩa là từ gói dữ liệu + key = chuỗi số . Nhưng
từ chuỗi số không thể hash ra = dữ liệu + key
Và chuỗi số này sẽ đuợc gán vào AH header .
Bước thứ 2 : AH Header này sẽ được chèn vào giữa Payload và Ip Header và
chuyển sang phía bên kia .
Đương nhiên các bạn cũng nhớ cho rằng việc truyền tải gói dự liệu này đang
chạy trên 1 tunel mà trước đó quá trình IKE sau khi trao đổi khóa đã tạo ra .
Bước thứ 3 : Router đích sau khi nhận được gói tin này bao gồm IP header +
AH header + Payload sẽ được chạy qua giải thuật Hash 1 lần nữa để cho ra 1
chuỗi số .
Bước thứ 4 : So sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống
nhau thì nó sẽ chấp nhận gói tin .
Nếu trong quá trình truyền gói dữ liệu 1 attacker sniff nói tin và chỉnh sửa nó
dẫn đến việc gói tin bị thay đổi về kích cỡ , nội dung thì khi đi qua quá trình
hash sẽ cho ra 1 chuỗi số khác chuỗi số ban đầu mà router đích đang có . Do
đó gói tin sẽ bị drop
Thuật toán hash bao gồm MD5 và SHA-1
Và trong trừong hợp này IPSec đang chạy ở chế độ trasports mode .
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
18
* Giao thức ESP
Phía dưới đây là cơ chế mã hóa gói dữ liệu bằng giao thức ESP
Esp là giao thức hỗ trợ cả xác thực và mã hóa
Phía trên là gói dự liệu ban đầu và ESP sẽ dùng 1 cái key để mã hóa toàn bộ
dữ liệu ban đầu . Và trường hợp trên là Ipsec đang chạy ở chế độ Tunel mode
nên ngoài ESP header ra nó sẽ sinh ra 1 Ip Header mới không bị mã hóa để có
thể truyền đi trong mạng Internet.
Quá trình xác thực và mã hóa của ESP và AH chỉ diễn ra sau khi quá trình IKE
hòan thành.
3. Bốn chế độ IKE phổ biến:
· Chế độ chính (Main mode): hoàn thành giai đoạn 1 của ISAKMP sau khi đã
thiết lập một kênh bảo mật.
· Chế độ linh hoạt (Aggressive mode) một cách khác để hoàn thành giai của
ISAKMP. nó đơn giản hơn và nhanh hơn giai đoạn chính, nhưng không bảo mật
nhận dạng cho việc đàm phán giữa các nút, bởi vì nó truyền nhận dạng của
chúng trước khi đàm phán được một kênh bảo mật.
· Chế độ nhanh (Quick mode): hoàn thành giai đoan 2 của ISAKMP bằng
cách đàm phán một SA cho các mục đích của việc chuyền thông.
· Chế độ nhóm mới (New Group mode) chế độ này không thật sự của giai
đoạn một hay giai đoạn 2. chế độ nhóm mới theo sau đàm phán của giai đoạn
đưa ra cơ chế định nghĩa nhóm riêng của chuyển giao Diffie-Hellman.
Để thiết lập IKE cho một nút, một host hay một cổng nối cần ít nhật 4 yếu tố:
- một giải thuật mã hoá để mã hoá dữ liệu.
- một giải thuật băm để giảm dữ liệu cho báo hiệu
- một phương thức xác thực cho báo hiệu dữ liệu.
- thông tin về nhóm làm việc qua tổng đài.
yếu tố thứ 5 có thể đưa ra trong SA, hàm giả ngẫu nhiên (pseudo-random-
function) sử dụng để băm giá trị hiện tại xuống quá trình chuyển khoá cho mục
đích kiểm tra. Nếu trong SA không bao gồm nó thì HMAC của giải thuật băm
được sử dụng.
1) Main Mode
Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong
qua trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:
chế độ chính đưa ra cơ chế để thiết lập giai đoạn 1 của ISAKMP SA, bao gồm
các bước sau
- sử dụng chế độ chính để khởi động một ISAKMP SA cho kết nối tại
- sử dụng chế độ nhanh để đàm phái một SA.
- sử dụng SA được tạo ra ở trên để chuyền thông cho đến khi nó hết hạn
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
19
Cert : Một chứng nhận tải
ID : Một nhận dạng tải
Key : Một khoá trao đổi tải
SA : Một đề nghị kết hợp bảo mật
Sig :Một chữ ký tải
-
Giải thích
SA tiêu
đề
SA tiêu
đề
Nonce tiêu
đề
key
Nonce tiêu
đề
key
Sig IDcert tiêu
đề
Sig IDcert tiêu
đề
1
2
3
4
5
6
Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng
Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT
20
bước thứ nhất, sử dụng chế độ chính để bảo mật ISAKMP SA, diễn ra theo 3
bước chao đổi hai chiều giữa SA gửi và SA nhận (hình 5.10). bước chao đổi đầu
tiên thoả thuận về giải thuật và băm. bước chao đổi thứ 2 chuyển giao khoá
chung và các nonce của nhau (là những con số ngẫu nhiên mà một bên ghi và
trả lại để chứng minh danh định của nó). bước thư 3, hai bên sẽ kiểm tra danh
định của nhau và tiến trình chao đổi hoàn tất.
hai bên có thể sử dụng khoá dùng chung khi chúng nh
Các file đính kèm theo tài liệu này:
- Quản lý khóa trong vpn.pdf