Trong mã hóa hiện đại, người ta cho rằng phương pháp mã hóa thông tin là không giữ được bí mật chúng sẽ được công khai, còn việc thực hiện thì cho phép thay đổi theo một tham số do từng
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
Trang 2Mục Lục
Phân công công việc 1
Lý do chọn đề tài 2
Danh Mục Thuật Ngữ Viết Tắt 3
Danh mục hình vẽ 4
1 Giới thiệu về giao thức trao đổi khóa IKE 5
1.1 Nguồn gốc 5
1.2 Khái niệm về IKE 5
1.3 Chức năng 5
1.4 Ưu nhược điểm của IKE 6
2 Kiến trúc IKE 6
2.1 IKEv1 6
2.1.1 Đàm phán IKEv1 phase-1 6
2.1.2 Đàm phán phase-2 IKEv1 9
2.2 IKEv2 10
3 Các giai đoạn (pharse) IKE 11
3.1 IKE pharse 1 12
3.2 IKE pharse 1.5 12
3.3 IKE Pharse 2 12
4 Các chế độ hoạt động của IKE 13
4.1 Chế độ chính – Main Mode 13
4.2 Chế độ hoạt động - Aggressive Mode 14
4.3 Chế độ nhanh – Quick Mode 15
4.4 Chế độ nhóm – New Group Mode 15
5 Các phương thức xác thực của IKE 16
5.1 Xác thực với chữ ký 16
5.2 Xác thực với mã hóa khóa công khai 17
5.3 Xác thực với chế độ sửa đổi của mã hóa khóa công khai 18
5.4 Xác thực với khóa trước khi chia sẻ – tiền chia sẻ ( Pre-Shared key) 21
6 Ứng dụng IKE trong bảo mật thông tin mạng 22
6.1 Ứng dụng IKE trong IPsec 22
Trang 36.1.1 IPsec 22
6.1.2 Giao thức trao đổi khóa IKE 23
6.2 Ứng dụng IKEv2 trong VPN: 26
Kết Luận 30
Tài Liệu Tham Khảo 31
Trang 41.4 Ưu nhược điểm của IKE
2 Kiến trúc của IKE
4.2 Chế độ linh hoạt – Aggressive Mode
4.3 Chế độ nhanh – Quick Mode
4.4 Chế độ nhóm – New Group Mode
5 Các phương thức xác thực của IKE
5.1 Xác thực với chữ ký
5.2 Xác thực với mã hóa khóa công khai
5.3 Xác thực với chế độ sửa đổi của mã hóa khóa công
khai
5.4 Xác thực với khóa trước khi chia sẻ – tiền chia sẻ (
Pre-Shared key)
6 Ứng dụng IKE trong bảo mật thông tin mạng
6.1 Ứng dụng IKE trong IPsec
6.1.1.1 Khái niệm về IPsec
6.1.1.2 Giao thức trao đổi khóa IKE
6.2 Ứng dụng IKEv2 trong VNP
7 Lý do chọn đề tài & Tổng kết
8 Tổng hợp làm word
Trang 52
Lý do chọn đề tài
Với sự phát triển mạnh mẽ của Internet về cả mô hình và công nghệ để đáp ứng nhu cầu của người sử dụng Internet đã được thiết kế để kết nối nhiều mạng khác nhau, và cho phép thông tin chuyển đến người dùng một cách nhanh chóng và thuận tiện nhất Việc cần phải giải quyết là vấn đề truyền thông của các mạng viễn thông công cộng Các dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế đã được thực hiện
Tuy nhiên Internet có phạm vi toàn cầu, không có một tổ chức, chính phủ nào quản
lý nên gặp rất nhiều khó khăn trong việc bảo mật và an toàn thông tin, cũng như quản lý dữ liệu dịch vụ Do đó sẽ gặp nhiều vấn đề phát sinh trong quá trình truyền dữ liệu và trao đổi trên Internet Các nguy cơ trên mạng thông tin như có thể bị trộm cắp, có thể làm sai lệch,
có thể giả mạo thông tin…Điều này làm ảnh hưởng đến các công ty, tổ chức, khi bị lộ thông tin quan trọng, bí quyết kinh doanh, bí mật quốc gia Chính vì vậy, vấn đề bảo mật thông tin được đặt lên hàng đầu Vấn đề này không chỉ có ở các bộ máy an ninh, quốc phòng, quản lý nhà nước mà đã trở thành cấp thiết trong các hoạt động kinh tế xã hội: tài chính, ngân hàng, thương mại…thậm chí trong cả các hoạt động thường ngày như thư điện tử, thanh toán thẻ tín dụng…Do đó, những năm gần đây công nghệ mật mã và an toàn thông tin được nghiên cứu và phát triển mạnh mẽ
Trong mã hóa hiện đại, người ta cho rằng phương pháp mã hóa thông tin là không giữ được bí mật chúng sẽ được công khai, còn việc thực hiện thì cho phép thay đổi theo một tham số do từng người sử dụng tự ấn định (mỗi giá trị của tham số sẽ xác định một cách mã hóa riêng) Việc tạo mã và giải mã chỉ được thực hiện khi biết các tham số Các tham số ấy được gọi là “key” – khóa và là thông tin duy nhất cần giữ bí mật Tính bảo mật
là khóa mật mã chứ không phải thuật toán Vì vậy an toàn trong trao đổi khóa vô cùng quan trọng Một trong những giao thức bảo mật đang được sử dụng phổ biến hiện nay là giao thức trao đổi khóa IKE (Internet Key Exchange) IKE giúp các bên giao tiếp các tham số bảo mật và xác nhận khóa
IKE được ứng dụng nhiều nhất trong công nghệ VPN Vì vậy nhóm chúng em đã chọn đề tài “Giao thức trao đổi khóa IKE” làm tiểu luận cuối kì
Tiểu luận gồm 6 phần:
Phần 1: Giới thiệu về giao thức trao đổi khóa IKE
Phần 2: Kiến trúc của IKE
Phần 3: Các giai đoạn (phase) IKE
Phần 4: Các chế độ hoạt động của IKE
Phần 5: Các phương thức xác thực của IKE
Phần 6: Ứng dụng IKE trong bảo mật thông tin mạng
Trang 63
Danh Mục Thuật Ngữ Viết Tắt
Thuật ngữ
viết tắt Thuật ngữ tiếng Anh Thuật ngữ tiếng Việt
AES Advanced Encryption Standard Chuẩn Mã hóa cấp cao
AH Authentication Header Tiêu đề xác thực
BEET Bound End-to-End Tunnel Đường hầm từ đầu đến cuối
CBC Cipher Block Chaining Chuỗi khối mật mã
DES Data Encrypt Standar Tiêu chuẩn mã hóa dữ liệu
DH
DSS Digital Signature Standard Chuẩn chữ ký số
ESP Encapsulating Security Payload Đóng gói thông tin bảo mật
HMAC Hashed Message
Authentication Code
Mã xác thực thông báo hàm băm IKE Internet Key Exchange Trao đổi khóa Internet
IPSec Internet Protocol Security Giao thức bảo mật Internet
ISAKMP Internet Security Association
and Key Management Protocol
Hiệp hội Bảo mật Internet và Giao thức Quản lý Khóa
IV Initialization vectors Vectơ khởi tạo
L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2
OID Object ID Định danh đối tượng
OSI Open Systems Interconnection
Reference Model
Mô hình tham chiếu kết nối hệ thống
mở PFS Perfect Forward Secrecy Bí mật chuyển tiếp
PKCS Public Key Cryptography
SA Security Association Hiệp hội bảo mật
SKEME A Versatile Secure Key
Exchange Mechanism for internet
Cơ chế trao đổi khóa an toàn linh hoạt cho Internet
SKEYID Shared Key ID Định danh khóa chia sẻ
VPN Virtual Private Network Mạng riêng ảo
Xauth Extended Authentication Xác thực mở rộng
Trang 74
Danh mục hình vẽ
Hình 2.1 Đàm phán phase1 IKEv1 ở chế độ chính………10
Hình 2.2 Trao đổi DH và tạo khóa……….11
Hình 2.3 Đàm phán phase1 IKEv1 ở chế độ tích cực………12
Hình 2.4 Mối quan hệ giữa IPsec SA và IKE SA……… 13
Hình 2.5 Quy trình đàm phán IKEv1 phase-2………13
Hình 2.6 Thủ tục đàm phán ban đầu IKEv2……… 14
Hình 4.1 Sơ đồ hoạt động của IKE……….16
Hình 4.2 Chế độ Main Mode……… 17
Hình 4.3 Chế độ Aggrenssive Mode……… 17
Hình 4.4 Chế độ Quick Mode………18
Hình 4.5 Chế độ New Group Mode……… 18
Hình 6.1 Vị trí IPsec trong mô hình OSI………25
Hình 6.2 Chế độ chính của khóa kí tự công khai………26
Hình 6.3 Chế độ chính của khóa chia sẻ trước………27
Hình 6.4 Cách IKEv2 hoạt động……….29
Hình 6.5 Ngăn xếp giao thức IKEv2 VPN……… 30
Hình 6.6 Sửa đổi giao thức IKEv2……… 31
Trang 8RFC 2409 định nghĩa của Internet Key Exchange (IKE)
IKE đã được cập nhật lên phiên bản hai vào tháng năm 2005 IKEv2 là phiên bản cập nhật của IKEv1 nên chúng có khá nhiều đặc điểm giống nhau Nhưng IKEv2 hỗ trợ nhiều tính năng và an toàn hơn
1.2 Khái niệm về IKE
Internet Key Exchange (IKE) là một giao thức cho phép các máy trạm tự động thỏa thuận các tham số để thiết lập các liên kết an toàn - Security Association (SA) giữa hai máy
có cài đặt giao thức IKE và IPSec trong một mạng SA có những thông tin để thiết lập một kết nối an toàn giữa các bên về phương thức xác định trước IKE này được dựa trên giao thức quản trị khóa và liên kết an toàn Internet-Internet Security Association and Key Management Protocol (ISAKMP), Oakley, SKEME
Về cơ bản được biết như giao thức quản trị khóa và liên kết an toàn ISAKMP/Oakley, IKE giúp các bên giao tiếp thủa thuận các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai Ngoài việc thỏa thuận và thiết lập các tham số bảo mật và khóa mã hóa, IKE cũng sữa đổi những tham số khi cần thiết trong suốt phiên làm việc IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một phiên giao dịch hoàn thành
Internet-ISAKMP ([MSST98]) cung cấp một khung(khuôn khổ) cho sự chứng thực và sự trao đổi khóa nhưng không định nghĩa chúng ISAKMP được thiết kế để trao đổi khóa độc lập,
có nghĩa là, nó được thiết kế để hỗ trợ nhiều sự trao đổi khóa khác nhau
Oakley ([Orm96]) mô tả một loạt các trao đổi khóa - được gọi là "modes" hay “ chế độ” - và chi tiết các dịch vụ cung cấp (ví dụ : như giữ bí mật cho các khóa, bảo vệ danh tính, và xác thực)
SKEME ([SKEME]) mô tả một kỹ thuật trao đổi khóa linh hoạt,cung cấp nặc danh
1.3 Chức năng
• Tự động làm mới lại chìa khóa
• Chống lại các cuộc tấn công làm nghẽn mạng như tấn công từ chối dịch vụ DoS
• Sử dụng chữ kí số
Trang 96
• Dùng chung khóa
• Cung cấp những phương tiện cho 2 bên về sự đồng ý những giao thức, thuật toán và những chìa khóa để sử dụng
• Đảm bảo trao đổi khóa đến đúng người dùng
• Quản lý những chìa khóa sau khi được chấp nhận
• Đảm bảo sự điều khiển và trao đổi khóa an toàn
• Cho phép sự chứng thực động giữa các đối tượng ngang hàng
1.4 Ưu nhược điểm của IKE
IKE không phục thuộc vào công nghệ Vì vậy nó có thể được dùng với bất kỳ cơ chế bảo mật nào
IKE mặc dù không nhanh, nhưng hiệu quả cao vì một số lượng lớn các SA được thương lượng với một số thông điệp vừa phải
Với giao thức IKEv2
+ Ưu điểm: Nhanh hơn PPTP và L2TP, Hỗ trợ các phương pháp mã hóa cao cấp, ổn định khi thay đổi mạng và thiết lập lại kết nối VPN, khi kết nối tạm thời bị mất, Cung cấp hỗ trợ di động nâng cao, Dễ dàng thiết lập
+ Nhược điểm: Sử dụng cổng UDP 500 có thể bị một số tường lửa chặn, Không dễ áp dụng ở phía máy chủ
2 Kiến trúc IKE
Giao thức IKE được tạo ra bởi Microsoft và Cisco IKE có 2 kiến trúc chính là IKEv1 (phát hành năm 1998) và IKEv2 (phát hành năm 2005) IKEv2 là phiên bản cập nhật của IKEv1 nên chúng có khá nhiều đặc điểm giống nhau Nhưng IKEv2 hỗ trợ nhiều tính năng
và an toàn hơn
2.1 IKEv1
Quy trình đàm phán IKEv1 SA: đàm phán IKEv1 SA chủ yếu bao gồm hai giai đoạn
Mục đích của đàm phán phase1 IKEv1 là thiết lập IKE SA Sau khi IKE SA được thiết lập, mã hóa và kiểm tra tính toàn vẹn được thực hiện trên tất cả các thông báo ISAKMP
giữa các đồng nghiệp Kênh bảo mật đảm bảo tính bảo mật của đàm phán IKEv1 phase-2
Đàm phán IKEv1 phase-2 nhằm mục đích thiết lập IPsec SA được sử dụng để truyền
dữ liệu
2.1.1 Đàm phán IKEv1 phase-1
Đàm phán IKEv1 phase-1 chủ yếu thực hiện ba nhiệm vụ:
− Đàm phán các tham số được sử dụng để thiết lập IKE Sas: Các tham số như thuật toán
mã hóa, thuật toán xác thực, phương pháp xác thực và khóa xác thực, nhóm DH và
vòng đời IKE SA được xác định trong đề xuất IKE
Trang 107
− Trao đổi thông tin quan trọng liên quan (vật liệu được sử dụng để tạo khóa) bằng thuật toán DH: Các thiết bị ngang hàng sử dụng các vật liệu chính để tạo ra các khóa đối
xứng để mã hóa và xác thực thông điệp ISAKMP
− Xác thực lẫn nhau giữa các thiết bị ngang hàng: Các thiết bị ngang hàng xác thực lẫn
nhau bằng khóa chia sẻ trước hoặc chứng chỉ kỹ thuật số
Sau khi ba nhiệm vụ được Đàm phán thành công, IKE SA được thiết lập
Đàm phán IKEv1 phase-1 hỗ trợ chế độ chính và chế độ tích cực:
❖ Chế độ chính:
Chế độ chính sử dụng ba bước để thực hiện các tác vụ trước đó Mỗi bước yêu cầu hai gói ISAKMP Do đó, cần có tổng cộng sáu gói ISAKMP Việc trao đổi thông tin liên quan đến khóa được thực hiện trước khi xác thực danh tính Do đó, danh tính của thiết bị
được bảo vệ bằng khóa công khai
Trong chế độ chính, quy trình đàm phán giai IKEv1 phase-1 được thể hiện trong
Hình 2.1
Hình 2.1: Đàm phán phase1 IKEv1 ở chế độ chính
Các bước được mô tả chi tiết như sau:
1 Đàm phán về các đề xuất IKE được sử dụng giữa các đối tượng ngang hàng
a) Thiết bị A gửi các bản tin ISAKMP mang các tham số (được xác định bởi các đề xuất
IKE) được sử dụng để thiết lập IKE SA
b) Thiết bị B Đàm phán với Thiết bị A về các đề xuất IKE
Trong cuộc đàm phán, các đề xuất có mức độ ưu tiên cao hơn được so khớp sớm hơn Đàm phán chỉ thành công khi có ít nhất một đề xuất IKE phù hợp Đề xuất được so khớp nếu cả hai đầu sử dụng cùng một thuật toán mã hóa, thuật toán xác thực, phương pháp xác
thực và mã định danh nhóm DH
Trang 118
c) Thiết bị B phản hồi bản tin ISAKMP với một gói tin mang đề xuất và tham số phù
hợp Nếu không có đề xuất nào phù hợp, Thiết bị B sẽ từ chối đề xuất từ người gửi
2 Trao đổi thông tin liên quan đến khóa (tài liệu được sử dụng để tạo khóa) bằng cách sử
dụng thuật toán DH và tạo khóa
− Các thiết bị ngang hàng trao đổi thông tin quan trọng liên quan bằng cách sử dụng hai
thông điệp ISAKMP
− Bốn khóa được tạo bằng cách sử dụng thông tin liên quan đến khóa
SKEYID là khóa cơ sở mà từ đó SKEYID_a, SKEYID_e và SKEYID_d được tạo ra
− SKEYID_a là khóa được sử dụng để kiểm tra tính toàn vẹn của tin nhắn
− SKEYID_e là để mã hóa tin nhắn ISAKMP
− SKEYID_d là để tạo ra khóa mã hóa và xác thực cho các gói IPsec
Công thức tính toán SKEYID khác nhau đối với phương pháp khóa chia sẻ trước và
phương pháp chứng chỉ số
Hình 2.2: Trao đổi DH và tạo khóa
3 Xác thực lẫn nhau giữa các thiết bị ngang hàng
a) Các thiết bị ngang hàng trao đổi thông tin nhận dạng bằng cách sử dụng hai bản tin
ISAKMP Đối với phương pháp khóa chia sẻ trước, thông tin nhận dạng là địa chỉ IP hoặc tên Đối với phương thức chứng thư số, thông tin nhận dạng cũng bao gồm nội dung của chứng chỉ Thông tin nhận dạng được mã hóa bằng SKEYID_e, đảm bảo tính
bảo mật của thông tin nhận dạng
b) Các thiết bị ngang hàng sử dụng thuật toán mã hóa, thuật toán xác thực, phương pháp
xác thực danh tính, SKEYID_a và SKEYID_e được xác định trong đề xuất IKE để thực
hiện mã hóa, giải mã và xác thực
❖ Chế độ tích cực
Ở chế độ tích cực, việc thiết lập IKE SA chỉ yêu cầu trao đổi ba thông điệp
Trong chế độ tích cực, quy trình Đàm phán IKEv1 phase-1 được thể hiện trong Hình
2.3
Trang 129
Hình 2.3: Đàm phán phase1 IKEv1 ở chế độ tích cực
Quy trình Đàm phán IKEv1 phase-1 ở chế độ tích cực như sau:
1 Thiết bị A gửi một thông điệp ISAKMP mang các tham số được sử dụng để thiết lập
IKE SA, thông tin liên quan đến việc tạo khóa và thông tin xác thực danh tính
2 Thiết bị B xác nhận gói dữ liệu đầu tiên mà nó nhận được, tìm kiếm và gửi các tham số
phù hợp, thông tin được sử dụng để tạo khóa và thông tin xác thực danh tính đến Thiết
bị A
3 Thiết bị A trả lời kết quả xác thực và thiết lập IKE SA
So với chế độ chính, chế độ tích cực nhanh hơn trong việc thiết lập IKE SAs Tuy nhiên, trong chế độ tích cực, danh tính không thể được bảo vệ vì trao đổi khóa và xác thực
danh tính được thực hiện đồng thời
2.1.2 Đàm phán phase-2 IKEv1
Đàm phán IKEv1 phase-2 được sử dụng để tạo IPsec SA để truyền dữ liệu Hình 2.4
cho thấy mối quan hệ giữa IPsec SA và IKE SA
Trang 1310
Hình 2.4: Mối quan hệ giữa IPsec SA và IKE SA
Đàm phán IKEv1 phase-2 được hoàn tất thông qua trao đổi nhanh Trong trao đổi nhanh, SKEYID_a được tạo trong Đàm phán phase1 của IKEv1 được sử dụng để triển khai xác thực tính toàn vẹn và danh tính trên các thông báo ISAKMP và SKEYID_e được sử
dụng để mã hóa các thông báo ISAKMP, đảm bảo tính bảo mật của trao đổi
Trong quá trình trao đổi nhanh, các đồng nghiệp đàm phán các tham số của IPsec
SA và tạo các khóa để truyền dữ liệu
Hình 2.5 hiển thị quá trình đàm phán ở chế độ nhanh
Hình 2.5: Quy trình đàm phán IKEv1 phase-2
Thiết lập IPsec SA ở chế độ trao đổi nhanh yêu cầu ba thông báo
− Thông báo 1 gửi các thông số bảo mật cục bộ và thông tin xác thực danh tính
− Bản tin 2 gửi các thông số bảo mật và thông tin xác thực danh tính của người trả lời để
SA và một cặp IPsec SA thông qua đàm phán Để tạo nhiều cặp IPsec SA, chỉ cần một lần trao đổi bổ sung cho mỗi cặp SA bổ sung Đó là, hai thông báo có thể hoàn thành nhiệm
vụ Theo nghĩa này, IKEv2 đơn giản hơn nhiều so với IKEv1
Quy trình đàm phán IKEv2 SA
IKEv2 định nghĩa ba loại trao đổi, đó là trao đổi ban đầu, tạo trao đổi SA con và trao
Trang 1411
đổi thông báo
Mục đích của IKEv2 là đàm phán các IPSec SA để thiết lập đường hầm IPSec
1 Trao đổi ban đầu
Giao tiếp IKE luôn bắt đầu từ trao đổi ban đầu IKE SA và trao đổi xác thực IKE Hai cuộc trao đổi thường bao gồm bốn thông điệp Số lượng có thể tăng lên trong các trường hợp nhất định Tất cả các thông tin liên lạc sử dụng IKE bao gồm các yêu cầu và trả lời Sau khi trao đổi ban đầu IKE SA và trao đổi xác thực IKE hoàn tất,
IKE SA và cặp SA con đầu tiên (IPsec SA) được thiết lập
Hình 2.6 Thủ tục đàm phán ban đầu IKEv2
2 Tạo trao đổi SA con
Nếu IKE SA yêu cầu nhiều IPsec SA, hãy tạo trao đổi SA con để đàm phán nhiều
SA Bên cạnh đó, việc tạo trao đổi Child SA cũng có thể được sử dụng để đàm phán
lại các IKE SA
3 Trao đổi thông báo
Hai đầu liên quan đến thương lượng IKE đôi khi gửi một số thông báo điều khiển nhất định như thông báo lỗi hoặc thông báo thông báo Các bản tin như vậy được chuyển trong trao đổi thông báo trong IKEv2 Trao đổi thông báo phải được bảo vệ bởi IKE SA Đó là, trao đổi thông báo phải đến sau khi trao đổi ban đầu
IKEv2 thực hiện các chức năng:
− Đàm phán các tham số IPSec SA được bảo vệ bởi IKE SA hiện có
− Thiết lập các hiệp hội bảo mật IPSec
− Định kỳ thương lượng lại IPSec SA để đảm bảo an ninh
− Tùy chọn thực hiện trao đổi Diffie-Hellman bổ sung
3 Các giai đoạn (pharse) IKE
Giai đoạn hoạt động của IKE cũng tương tự như là quá trình bắt tay trong giao thức TCP/IP Quá trình hoạt động của IKE được chia ra làm hai phase chính:
Trang 15− Thuật toán mã hóa: DES, 3DES, AES
− Thuật toán hash: MD5, SHA
− Phương pháp xác thực: Preshare-key, RSA
− Nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Main mode: sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau
− Hai message đầu dùng để thỏa thuận các thông số của chính sách bảo mật
− Hai message tiếp theo trao đổi khóa Diffie-Hellman
− Hai message cuối cùng thực hiện xác thực giữa các thiết bị
Aggressive mode: sử dụng 3 message
− Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman
− Message thứ hai sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và xác thực bên nhận
− Message cuối cùng sẽ xác thực bên vừa gửi
3.2 IKE pharse 1.5
Là một giai đoạn IKE không bắt buộc Giai đoạn 1.5 cung cấp thêm một lớp xác thực, được gọi là Xauth hoặc xác thực Extended Xác thực IPsec được cung cấp trong phase 1 xác thực các thiết bị hoặc thiết bị đầu cuối sử dụng để thiết lập kết nối IPsec Xauth bắt người sử dụng phải xác thực trước khi sử dụng các kết nối Ipsec
Phase 1.5 sử dụng giao thức Extended Authentication (Xauth) Phase này thường sử dụng trong Remote Access VPN
3.3 IKE Pharse 2
Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn Quá trình thỏa thuận các thông số ở phase 2 là để thiết lập SA IPSec dựa trên những thông số của phase 1 Quick mode là phương thức được sử dụng trong phase 2 Các thông số mà Quick mode thỏa thuận trong phase 2:
− Giao thức IPSec: ESP hoặc AH
− IPSec mode: Tunnel hoặc transport
− IPSec SA lifetime: dùng để thỏa thuận lại SA IPSec sau một khoảng thời gian mặc định
Trang 1613
Nhóm 2
hoặc được chỉ định
− Trao đổi khóa Diffie-Hellman
SA IPSec của phase 2 hoàn toàn khác với SA IKE ở phase 1, SA IKE chứa các thông số để tạo nên kênh truyền bảo mật, còn SA IPSec chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode
4 Các chế độ hoạt động của IKE
Hình 4.1 Sơ đồ hoạt động của IKE
4.1 Chế độ chính – Main Mode
Main Mode xác nhận và bảo vệ tính đồng nhất của các bên liên quan trong quá trình giao dịch
Main Mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau
+ Hai message đầu dùng để thỏa thuận các thông số của chính sách bảo mật
+ Hai message tiếp theo trao đổi khóa Diffie-Hellman
+ Hai message cuối cùng thực hiện xác thực giữa các thiết bị
Hình 4.2 Chế độ Main Mode
Trang 1714
Nhóm 2
Trong đó:
+ SA: Kết hợp bảo mật được thương lượng
+ Header: Một tiêu đề ISAKMP tương ứng với chế độ được dùng
+ Nonce: Một số ngẫu nhiên gửi cho việc ký số
+ KE: Dữ liệu trao đổi khóa với trao đổi khóa Diffie-Hellman
+ Sig: Chữ ký dành cho xác thực
+ Cert: Một chứng chỉ số cho khóa công khai
+ ID: Định danh (s là của sender, r là của Recipient trong pha I)
4.2 Chế độ hoạt động - Aggressive Mode
Nhìn chung chế độ Main Mode và chế độ Aggrenssive Mode bản chất gần giống nhau Chỉ khác nhau Main Mode có 6 message còn Aggrenssive có 3 message được trao đổi Do
đó Aggrenssive chạy nhanh hơn 2 mode