Tuy nhiên, do Internet có phạm vi toàn cầu, không một tổ chức hay chính phủ nào quản lý nên sẽ có rất nhiều khó khăn trong việc bảo mật, đảm bảo an toàn dữ liệu cũng như chất lượng của c
Trang 1NHÓM THỰC HIỆN:
Đỗ Chiến Anh Tú – MSSV:1811770070
Vũ Quang Long – MSSV: 1811770020 Trần Thành Long – MSSV: 1811770157
Trang 2LỜI MỞ ĐẦU 5
1.3.2 Sự khác biệt giữa IPSEC (Tunnel Mode và Transport Mode) 12
1.4.2 Các cơ chế bảo vệ được cung cấp bởi giao thức AH 13
1.4.6 Quá trình xử lí của AH với các gói tin Outbound 17
1.4.7 Quá trình xử lí của AH đối với các gói tin Inbound 20
1.4.8 Một số điểm phức tạp trong giao thức AH 23
Trang 31.5.4 Vị trí và các mode làm việc của ESP 25
1.5.5 Qúa trình xử lí của ESP đối với các thông điệp Outbound 26
1.5.6 Qúa trình xử lí của ESP đối với các thông điệp Inbound 27
1.5.7 Một số điểm phức tạp trong giao thức ESP 28
Trang 4DANH MỤC HÌNH
Trang 5LỜI MỞ ĐẦU
Trong thời đại Internet phát triển rộng khắp như ngày nay, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn y tế trực tuyến đã trở thành hiện thực Tuy nhiên, do Internet có phạm vi toàn cầu, không một tổ chức hay chính phủ nào quản lý nên sẽ có rất nhiều khó khăn trong việc bảo mật, đảm bảo an toàn dữ liệu cũng như chất lượng của các dịch vụ trực tuyến thông qua đường truyền mạng Từ đó, người ta đã đưa
ra mô hình mới nhằm thỏa mãn những yêu cầu trên mà vẫn tận dụng được cơ sở hạ tầng mạng vốn có, đó chính là mạng riêng ảo (Virtual Private Network-VPN) Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi gửi và nơi nhận (Tunnel) giống như một kết nối point-point trên mạng riêng.Và IPSEC (Internet Protocol Security) chính là một trong những giao thức tạo nên
cơ chế “đường ống bảo mật” cho VPN
Trang 6LỜI CẢM ƠN
Đầu tiên, chúng em xin gửi lời cảm ơn chân thành đến Trường Đại học Công Nghệ
TP Hồ Chí Minh đã đưa môn học bảo mật thông tin vào chương trình giảng dạy Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến giảng viên bộ môn – thầy Nguyễn Văn Vịnh đã dạy dỗ, truyền đạt những kiến thức quý báu cho em trong suốt thời gian học tập vừa qua Trong thời gian học lớp của thầy, em đã có thêm cho mình nhiều kiến thức bổ ích, tinh thần học tập hiệu quả, nghiêm túc Đây chắc chắn sẽ là những kiến thức quý báu, là hành trang để em có thể vững bước sau này Bộ môn bảo mật thông tin là môn học thú
vị, vô cùng bổ ích và có tính học thuật cao Đảm bảo cung cấp đủ kiến thức của sinh viên Tuy nhiên, do vốn kiến thức còn nhiều hạn chế và khả năng tiếp thu thực tế còn nhiều
bỡ ngỡ Mặc dù chúng em đã cố gắng hết sức nhưng chắc chắn bài đề tài khó có thể tránh khỏi những thiếu sót và nhiều chỗ còn chưa chính xác, kính mong thầy xem xét và góp ý để bài tiểu luận của em được hoàn thiện hơn.
Chúng em xin chân thành cảm ơn!
Trang 7Chương 1 TỔNG QUAN VỀ IPSEC
1.1 Giới thiệu về IPSEC
IPSEC ( Internet Protocol Security) là giao thức ở lớp Network (OSI) được chuẩn hoá bởi IETF từ năm 1998, cho phép gửi nhận các gói IP được mã hóa Tùy theo mức độ cần thiết, IPSEC có thể cung cấp một giải pháp an toàn dữ liệu từ đầu cuối trong bản thân cấu trúc mạng dựa trên hai kiểu dịch vụ mã hóa: AH, ESP Vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi các ứng dụng cũng như các hệ thống cuối Các gói mã hóa có khuôn dạng giống như gói tin IP thông thường, nên chúng dễ dàng được định tuyến qua mạng Internet mà không phải thay đổi các thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc triển khai và quản trị.
IPSec cung cấp các dịch vụ bảo mật như:
+ Bảo mật(mã hóa) - Confidentiality: Người gửi có thể mã hóa dữ liệu trước khi truyền chúng qua mạng Bằng cách đó, không ai có thể nghe trộm trên đường truyền Nếu giao tiếp bị ngăn chặn, dữ liệu không thể đọc được.
+ Toàn vẹn dữ liệu - Data integrity: Người nhận có thể xác minh các dữ liệu được truyền qua mạng Internet mà không bị thay đổi IPSec đảm bảo toàn vẹn dữ liệu bằng cách sử dụng checksums (cũng được biết đến như là một giá trị băm).
+ Xác thực - Authentication: Xác thực đảm bảo kết nối được thực hiện và các đúng đối tượng Người nhận có thể xác thực nguồn gốc của gói tin, bảo đảm, xác thực nguồn gốc của thông tin.
+ Antireplay protection: xác nhận mỗi gói tin là duy nhất và không trùng lặp.
IPSec là một nền(Frame work) kết hợp giao thức bảo mật và cung cấp mạng riêng
ảo với các dữ liệu bảo mật, toàn vẹn và xác thực Làm việc với sự tập hợp của các chuẩn
mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia vào mạng VPN Các thiết bị này có thể là
Trang 8các host hoặc là các security gateway (routers, firewalls, VPN concentrator, ) hoặc là giữa 1 host và gateway như trong trường hợp remote access VPNs.
Application Layer Presentation Layer Session Layer Transport Layer
Network Layer
IPSEC Data Link Layer Physical Layer
IPSEC được phát triển với mục đích cung cấp một cơ cấu bảo mật ở Layer 3 trong OSI Và Nó cũng là một phần quan trọng trong hỗ trợ giao thức L2TP( Layer 2 tunneling protocol) trong công nghệ mạng riêng ảo VPN
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6 Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc
Các giao thức chính sử dụng trong IPSec:
- IP Security Protocol (IPSec):
+ Authentication Header (AH): cung cấp tính toàn vẹn phi kết nối và chứng thực nguồn gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại các cuộc tấn công replay + Encapsulation Security Protocol (ESP): cung cấp tính năng bảo mật, chứng thực nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay.
- Message Encryption:
+ Data Encryption Standard (DES): Được phát triển bởi IBM DES sử dụng 1 khóa 56-bít, đảm bảo hiệu năng mã hóa cao DES là một hệ thống mã hóa khóa đối xứng.
Trang 9+ Triple DES (3DES): là một biến thể của DES 56-bít Hoạt động tương tự như DES, trong đó dữ liệu được chia thành các khối 64 bít 3DES thực thi mỗi khối ba lần, mỗi lần với một khóa 56 bít độc lập 3DES cung cấp sức mạnh khóa đáng kể so với DES.
- Message Integrity (Hash) Functions + Hash-based Message Authentication Code (HMAC) : là một thuật toán toàn vẹn
dữ liệu đảm bảo tính toàn vẹn của bản tin Tại đầu cuối, bản tin và một khóa chia sẻ bí mật được gửi thông qua một thuật toán băm, trong đó tạo ra một giá trị băm Bản tin và giá trị băm được gửi qua mạng Hai dạng phổ biến của thuật toán HMAC như sau: Message Digest 5 (MD5) và Secure Hash Algorithm-1,2 (SHA-1,2).
- Peer Authentication:
+ Rivest, Shamir, and Adelman (RSA) Digital Signutures: là một hệ thống mật mã khóa bất đối xứng Nó sử dụng một chiều dài khóa là 512 bít, 768 bít, 1024 bít hoặc lớn hơn IPsec không sử dụng RSA để mã hóa dữ liệu Chỉ sử dụng RSA để mã hóa trong giai đoạn xác thực ngang hàng.
+ RSA Encrypted Nonces
- Key Management + Diffie-Hellman (D-H) + Certificate Authority (CA)
- Security Association + Internet Exchange Key (IKE): IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch.
+ Internet Security Association and Key Management Protocol (ISAKMP)
Trang 10Hình 1: Sơ đồ kiến trúc IPSec
Trang 11Destination IP address là địa chỉ IP của nút đích Cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast
Security protocol: mô tả giao thức bảo mật IPSEC, là AH hoặc là ESP SA trong IPSEC được triển khai bằng 2 chế độ đó là Tunnel mode và Transport mode.
1.3 Các chế độ hoạt động của IPSec
1.3.1 IPSec (Tunnel)
Là một tập hợp các tiêu chuẩn và giao thức được phát triển ban đầu bởi Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF) để hỗ trợ truyền thông an toàn khi các gói thông tin được truyền từ một địa chỉ IP qua các ranh giới mạng và ngược lại.
IPSec (Tunnel) cho phép triển khai mạng riêng ảo (VPN) mà doanh nghiệp có thể sử dụng để mở rộng phạm vi tiếp cận ngoài mạng của chính mình một cách an toàn cho khách hàng, đối tác và nhà cung cấp.
IPSec VPN có thể được phân loại là:
+ Intranet VPNs: Kết nối trụ sở công ty với các văn phòng ở các địa điểm khác
nhau.
+ Extranet VPN: Kết nối doanh nghiệp với các đối tác kinh doanh hoặc nhà cung
cấp.
+ VPN truy cập từ xa: Kết nối người dùng cá nhân, từ xa, chẳng hạn như giám đốc
điều hành hoặc người làm việc viễn thông với mạng công ty của họ.
Trang 12Hình 2: Mô hình hoạt động của IPSec (Tunnel)
1.3.2 Sự khác biệt giữa IPSEC (Tunnel Mode và Transport Mode)
Tunnel Mode : Bảo vệ dữ liệu trong các tình huống mạng với mạng hoặc giữa các trang.
Nó đóng gói và bảo vệ toàn bộ gói IP Tải trọng bao gồm tiêu đề IP gốc và tiêu đề IP mới
( bảo vệ toàn bộ tải trọng IP bao gồm cả dữ liệu người dùng)
Transport Mode : Bảo vệ dữ liệu trong các kịch bản từ máy chủ đến máy chủ lưu trữ hoặc
đầu cuối Trong chế độ này, IPSec sẽ bảo vệ trọng tải của gói dữ liệu IP gốc bằng cách loại trừ tiêu đề IP(chỉ bảo vệ các giao thức lớp trên của tải trọng IP( hay còn gọi là dữ liệu người dùng)
1.4 Giao thức AH (Authentication Header)
1.4.1 Giới thiệu
AH cung cấp xác thực nguồn gốc dữ liệu (data origin authentication), kiểm tra tính toàn vẹn dữ liệu (data integrity), và dịch vụ chống phát lại (anti-replay service) AH cho phép xác thực các trường của IP header cũng như dữ liệu của các giao thức lớp trên, tuy nhiên do một số trường của IP header thay đổi trong khi truyền và phía phát có thể không dự đoán trước được giá trị của chúng khi tới phía thu, do đó giá trị của các trường này không bảo vệ được bằng AH Có thể nói AH chỉ bảo vệ một phần của IP header mà
Trang 13thôi AH không cung cấp bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên, tất cả đều được truyền dưới dạng văn bản rõ AH nhanh hơn ESP, nên có thể chọn AH trong trường hợp chắc chắn về nguồn gốc và tính toàn vẹn của dữ liệu nhưng tính bảo mật dữ liệu không cần được chắc chắn
Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm một chiều (one-way hash function) đối với dữ liệu của gói để tạo ra một đoạn mã xác thực (hash hay message digest) Đoạn mã đó được chèn vào thông tin của gói truyền đi Khi
đó, bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng với một hàm băm một chiều đối với gói dữ liệu thu được và đối chiếu nó với giá trị hash đã truyền đi Hàm băm được thực hiện trên toàn bộ gói dữ liệu, trừ một số trường trong IP header có giá trị bị thay đổi trong quá trình truyền mà phía thu không thể dự đoán trước được (ví dụ trường thời gian sống của gói tin bị các router thay đổi trên đường truyền dẫn).
1.4.2 Các cơ chế bảo vệ được cung cấp bởi giao thức AH
Tính toàn vẹn thông tin( intergrity): Cơ chế này đảm bảo gói tin nhận được chính là gói tin đã gửi
Xác thực nguồn gốc thông tin : Cơ chế này đảm bảo gói tin được gửi bởi chính người gửi ban đầu mà không phải là người khác
Cơ chế chống phát lại (Replay protection) (đây là cơ chế tùy chọn (optional), không bắt buộc): Cơ chế này đảm bảo rằng một gói tin không bị phát lại nhiều lần Cơ chế này
là một thành phần bắt buộc đối với bên gửi tuy nhiên bên nhận có thể tùy chọn sử dụng hoặc không sử dụng
Trang 141.4.3 Cấu trúc của AH
Hình 3: IP Packet được bảo vệ bởi AH Next header (8 bits): Xác định loại dữ liệu chứa trong tiêu đề AH Sử dụng các quy ước của TCP/IP
Payload length (8 bits): Xác định độ dài tiêu đề AH , tính bằng đơn vị từ I( 32 bits) trừ đi 2 đơn vị
Reserved (16 bits): Dành riêng chưa sử dụng, được gán chuỗi bit 0
SPI (security paramaters index) (32 bits): Nhận dạng liên kết SA.Giá trị từ 1 đển 255 được giành riêng Giá trị 0 được dùng vào mục đích đặc biệt Ví dụ một cơ chế quản lí khóa có thể sử dụng SPI với giá trị 0 để thể hiện rằng không có một SA nào tồn tại trong quá trình IPSEC đã yêu cầu bộ quản lí khóa tạo một SA mới nhưng SA này vẫn chưa được khởi tạo
Sequence number (32 bits): Số thứ tự gói truyền trên SA Thông qua việc theo dõi chỉ số này và gửi nó cho bên nhận, bên gửi có thể giúp bên nhận thực hiện việc chống phát lại (anti-replay) nếu bên nhận muốn
Trang 15Authentication data: Trường này có kích thước không xác định, không xác định trước, đảm nhiệm vai trò chính của AH Nó bao gồm ICV(intergrity check value: kiểm tra
sự toàn vẹn) Bên nhận sử dụng nó để kiểm tra tính toàn vẹn và tính xác thực của thông điệp Trường này có thể được chèn thêm nếu cần thiết để đảm bảo tổng chiều dài của
AH là bội số của 32 bits ( đối với Ipv4) và 64 bits (đối với Ipv6)
1.4.4 Vị trí của AH
Hình 4: Vị trí của AH trong IPv4 và IPv6 Trong Ipv4 , AH theo sau tiêu đề của gói tin Ip,tiếp đến là các tiêu đề của các giao thức ở trên ( TCP, UDP , ICMP) hoặc tiêu đề ESP
Trong Ipv6, vị trí của AH cũng tương tự như trên, tuy nhiên trong Ipv6 có thêm các tiêu đề tùy chọn Vị trí tương quan của các tiêu đề này và AH như sau: Các tiêu đề của các tùy chọn mở rộng trong Ipv6 đứng trước AH là các tiêu đề hop-by-hop,tiêu đề định tuyến (routing header), tiêu đề phân mảnh ( fragment header); Tiêu đề đích tùy chọn( dest
Trang 16options header) có thể đứng trước hoặc theo sau AH Vị trí tương quan của tiêu đề này với
AH phụ thuộc vào việc quá trình xử lí xác định đối với nó diễn ra trước hay sau khi quá trình xác thực diễn ra
1.4.5 Các mode làm việc trong AH
1.4.5.1 Tunnel Mode Được sử dụng để kết nối hai network thông qua một tập hợp các gateway bảo mật hoặc một host và một network được bảo vệ bởi một gateway bảo mật AH tunnel chạy giữa các gateway, không phải giữa các host trong hai network được bảo vệ.
Hình 5: Mode AH Tunnel Bởi vì gateway bảo mật phải bảo vệ gói tin giữa những cặp host tùy ý từ hai mạng, nên đóng gói sẽ khác nhau Thay vì chèn AH header giữa IP header và giao thức header lớp trên, mà gói gọn toàn bộ gói tin bởi prepending IP và AH header.
Hình 6: Cơ chế đóng gói AH Tunnel
Trang 171.4.6 Quá trình xử lí của AH với các gói tin Outbound
Một khi đã xác định rằng thông điệp gửi đi (outbound message) được bảo vệ bởi
AH, và đã xác định được một SA phù hợp quản lí việc truyền thông điệp này Thông điệp được chuyển tới quá trình xử lí IPSEC Quá trình này gồm các bước như sau:
- 1: Thêm một khuôn dạng AH vào vị trí thích hợp
- 2: Thêm vào trường next header
- 3: Thêm vào trường SPI bằng giá trị SPI của SA được chọn ở trên
- 4: Tính giá trị sequence number ( giá trị max của trường này là 2^32 -1 ) Nếu giá trị này chưa đạt giá trị max thì chỉ cần tăng sequence number lên một đơn vị Giá trị mới này được cất vào AH và SAD Ngược lại khi sequence number đã đạt đến giá trị max thì
có thể xáy ra các tình huống như sau: Nếu khóa bí mật giữa các bên của SA đã được thỏa thuận, đây là thời điểm thỏa thuận một khóa mới bất kể bên nhận có sử dụng chức năng chống phát lại hay không Thông điệp này có thể được giữ lại hoặc hủy bỏ cho đến khi quá trình thỏa thuận khóa mới diễn ra Nếu khóa của SA được tạo ra thủ công, nghĩa là hai bên thỏa thuận khóa với nhau thông qua một số cách xác định như là qua điện thoại hoặc sử dụng thư và nếu bên gửi biết rằng bên nhận không sử dụng chức năng chống phát lại thì sequence number đơn giản được reset về giá trị một Đối với việc thỏa thuận khóa thủ công, trong trường hợp người nhận sử dụng chức năng chống phát lại, cần phải thỏa thuận một khóa mới Cho tới lúc đó thông điệp chưa được gửi đi và quá trình xử lí
AH lúc này bị treo ( halt)
- 5: Đối với chế độ transport, trường next header được chuyển thành AH.
-6: Thêm trường tiêu đề tunnel nếu cần thiết Nếu SA sử dụng chế độ tunnel thì một tiêu để ip bổ sung được tạo ra và thêm vào thông điệp Địa chỉ nguồn và đích của tiêu đề ip bổ sung này là các đầu cuối của tunnel được xác định bởi SA
Nếu cả tiêu đề bên trong và bên ngoài đều là Ipv4 thì một số trường sau được chép
từ inner header ra outer header: Version, TOS, Protocol, Fragment identification, MF
Trang 18Flag và Fragment offset Một số trường sau cần phải tính toán lại: Header length, total length, và header checksum Việc tính toán lại các giá trị này là cần thiết vì các trường này thể hiện cho cả outer header và inner header lẫn AH Trường next header được thiết lập là AH Trường optional không được sao chép Trường TTL được thiết lập giá trị mặc định của hệ thống.Giá trị của cờ DF ( don’t fragment) tùy thuộc vào các policy của hệ thống cục bộ Giá trị này có thể được chép từ inner header hoặc được gán giá trị bằng 1
để chống phân mảnh, hoặc gán giá trị bằng 0 để cho phép phân mảnh Các trường của inner header được giữ nguyên ngoại trừ một ngoại lệ: Nếu địa chỉ nguồn của inner header và outer header là khác nhau có nghĩa là gói tin bên trong đã đi đến địa điểm nguồn của tunnel do đó giá trị TTL( Time to live ) bị giảm và do đó cần phải tính lại giá trị checksum trong inner header để phản ánh sự thay đổi này
Nếu cả hai tiêu đề đều là Ipv6, một số trường sau được chép từ inner header ra outer header: Version và Traffic class Trường Payload length được tính toán lại do tại thời điểm này trường này thể hiện giá trị tổng cộng của inner header , outer header và
AH Trường next header được thiết lập là AH hoặc là giá trị của phần mở rộng tùy chọn đứng trước AH Những trường mở rộng này không thể sao chép một cách thuần túy.Trường Hop limited được gán giá trị mặc định của hệ thống.Các trường của inner header được giữ nguyên ngoại trừ một ngoại lệ nếu địa chỉ nguồn của inner header và outer header khác nhau tức là gói tin inner đã đi đến địa điểm nguồn của tunnel Lúc này giá trị Hop-limmited bị giảm đi một đơn vị Điều này dẫn tới việc phải tính toán và cập nhật lại giá trị của trường checksum trong inner header
Nếu inner header là Ipv4 header và outer header là Ipv6 header hoặc ngược lại thì quá trình xử lí có vài điểm khác biệt.Trường version field được thiết lập là 4 đối với Ipv4 header và 6 đối với Ipv6 header Trường Traffic class được chuyển sang TOS, địa chỉ nguồn và địa chỉ đích được chuyển đổi sang định dạng phù hợp nếu cần thiết
- 7: Tính toán dữ liệu xác thực Lưu ý rằng toàn bộ thông điệp không được bảo vệ bởi AH, bởi vì ip header chứa 3 loại dữ liệu cơ bản sau: Immutable data ( các dữ liệu
Trang 19không thay đổi trong quá trình truyền), mutable data but predicable ( các dữ liệu thay đổi trong quá trình truyền nhưng có thể dự đoán được) và mutable unpredicable data ( các dữ liệu thay đổi trong quá trình truyền và không thể dự đoán trước được) Bảng dưới đây sẽ phân loại các trường này trong Ipv4 header và Ipv6 header Chỉ những trường chứa immutable data hoặc mutable data but predicable được đưa vào hàm băm
để tính Trong tunnel mode toàn bộ inner header và thông điệp gốc được đưa vào hàm băm tuy nhiên chỉ những immutable data và mutable data but predicable của outer header được đưa vào hàm băm Đối với các trường chứa dữ liệu mutable unpredic data
có các hướng giải quyết như sau Không đưa chúng vào hàm băm hoặc thay thế chúng bằng các giá trị zero Trên thực tế người ta áp dụng cách thứ 2 Vì cách làm này đảm bảo hàm băm luôn thực hiện trên dữ liệu có chiều dài xác định, đây là cách làm tổng quát Thuật toán băm áp dụng với AH là HMAC-MD5 (sinh ra 128 bits) và HMAC-SHA1 (sinh ra 160 bits) Trong AH để đảm bảo cho số lượng byte ngoài biên được phù hợp cho quá trình xử lí, AH giảm số lượng bits xuống còn 96 bits Một khi đã thêm trường ICV vào
AH thông điệp đã sẵn sàng
Trang 20Hình 7: Các lớp của IP Header Fields
- 8: Phân mảnh thông điệp nếu cần thiết Nếu việc thêm AH và đặc biệt thêm các tiêu đề trong tunnel mode làm kích thước thông điệp quá lớn thì việc phân mảnh là cần thiết Việc phân mảnh có thể diễn ra tại thời điểm này
Trong tunnel mode địa chỉ nguồn của inner header luôn là địa chỉ khởi tạo của thông điệp, nếu địa chỉ này khác địa chỉ source của outer header thì thông điệp có thể đã
bị phân mảnh trước khi rời khỏi host ban đầu Trong trường hợp đó tunnle header xác thực trên thông điệp đã bị phân mảnh và có thể sẽ bị phân mảnh tại thời điểm này.
Trang 21Hình 8:Tunnel Mode gateway-to-gateway SA
1.4.7 Quá trình xử lí của AH đối với các gói tin Inbound
Khi nhận được một thông điệp có chứa AH, quá trình xử lí ip trước tiên sẽ tống hợp các phân mảnh thành thông điệp hoàn chỉnh.Sau đó thông điệp này sẽ được chuyển tới quá trình xử lí IPSEC Quá trình này gồm các bước như sau:
- 1: Xác định inbound SA tương ứng trong SAD Bước này được thực hiện dựa trên các thông số: SPI, địa chỉ nguồn, giao thức AH SA tương ứng kiểm tra trong gói AH để xác định xem mode nào được áp dụng transport mode hay tunnel mode hay cả hai Gói cũng phải cung cấp một số thông số để giới hạn tầm tác động của SA(ví dụ: port hay protocol) Nếu đây là tunnel header SA phải so sánh các thông số này trong packer inner
vì các thông số này không được sao chép sang tunnel header Khi SA phù hợp được tìm thấy, quá trình được tiếp tục, ngược lại gói tin sẽ bị hủy bỏ
