Tweet
SA (Security Associations) là một khái niệm cơ bản của bộ giao thức IPSec. SA là một kết nối logic theo một hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec.
Có hai kiểu SA
Một IPSec SA bao gồm các thông tin sau:
- Dùng giao thức an toàn nào: AH hay ESP
- Thuật toán mã hóa/giải mã & khóa nào: DES | 3 DES
- Phương pháp và khóa xác thực nào được dùng cho AH | ESP: Hàm băm (HMAC, MD5, SHA1), chữ ký số (RSA), chứng chỉ số, Diffie-Hellman để quản lý khóa…
- Thông tin liên quan đến khoá như: khoảng thời gian thay đổi và khoảng thời gian làm tươi của khoá.
- Thông tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, khoảng thời gian làm tươi
Một SA gồm 3 phần:
<Chỉ số tham số an toàn, Địa chỉ IP đích, Giao thức an toàn>
SPI:
- Là một trường 32 bit, dùng để xác định một SA để gắn với một gói dữ liệu
- Là một chỉ số duy nhất cho mỗi bản ghi của cơ sở dữ liệu SADB (giống khóa chính).
- Được định nghĩa bởi người tạo SA, được lựa chọn bởi hệ thống đích khi thương lượng SA.
- SPI nhận các giá trị trong khoảng từ 1…255
Địa chỉ IP đích:
- là địa chỉ IP của Node đích
Giao thức an toàn:
- Mô tả giao thức an toàn IPSec được dùng, có thể là AH hoặc ESP
- Với hai điểm liên lạc: cần một SA cho mỗi hướng.
- SA có thể cung cấp các dịch vụ an toàn cho một phiên VPN (được bảo vệ bởi AH hay ESP).
Nếu một phiên VPN được bảo vệ kép bởi cả AH và ESP thì mỗi hướng kết nối cần định nghĩa 2 SA.
Các cơ sở dữ liệu dành cho SA
Một SA sử dụng 2 cơ sở dữ liệu
- Cơ sở dữ liệu tổ hợp an toàn (SAD - Security Association Database)
Ví dụ về SA:
- Ví dụ IPSec SA
- Ví dụ IKE SA
Phân biệt IKE SA và IPSec SA.
Có hai kiểu SA
- SAKMP SA (hay IKE SA)
- IPSec SA
Một IPSec SA bao gồm các thông tin sau:
- Dùng giao thức an toàn nào: AH hay ESP
- Thuật toán mã hóa/giải mã & khóa nào: DES | 3 DES
- Phương pháp và khóa xác thực nào được dùng cho AH | ESP: Hàm băm (HMAC, MD5, SHA1), chữ ký số (RSA), chứng chỉ số, Diffie-Hellman để quản lý khóa…
- Thông tin liên quan đến khoá như: khoảng thời gian thay đổi và khoảng thời gian làm tươi của khoá.
- Thông tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, khoảng thời gian làm tươi
Một SA gồm 3 phần:
<Chỉ số tham số an toàn, Địa chỉ IP đích, Giao thức an toàn>
SPI:
- Là một trường 32 bit, dùng để xác định một SA để gắn với một gói dữ liệu
- Là một chỉ số duy nhất cho mỗi bản ghi của cơ sở dữ liệu SADB (giống khóa chính).
- Được định nghĩa bởi người tạo SA, được lựa chọn bởi hệ thống đích khi thương lượng SA.
- SPI nhận các giá trị trong khoảng từ 1…255
Địa chỉ IP đích:
- là địa chỉ IP của Node đích
Giao thức an toàn:
- Mô tả giao thức an toàn IPSec được dùng, có thể là AH hoặc ESP
- Với hai điểm liên lạc: cần một SA cho mỗi hướng.
- SA có thể cung cấp các dịch vụ an toàn cho một phiên VPN (được bảo vệ bởi AH hay ESP).
Nếu một phiên VPN được bảo vệ kép bởi cả AH và ESP thì mỗi hướng kết nối cần định nghĩa 2 SA.
Các cơ sở dữ liệu dành cho SA
Một SA sử dụng 2 cơ sở dữ liệu
- Cơ sở dữ liệu tổ hợp an toàn (SAD - Security Association Database)
- Duy trì thông tin liên quan tới mỗi SA, bao gồm: các khoá, thuật toán, thời gian có hiệu lực của SA, chuỗi số tuần tự.
- Lưu các chính sách để thiết lập các SA
- Duy trì thông tin về các dịch vụ an toàn kèm theo với một danh sách chính sách các điểm vào và ra.
- Định nghĩa luồng lưu lượng được xử lý/bỏ qua
Ví dụ về SA:
- Ví dụ IPSec SA
- Ví dụ IKE SA
Phân biệt IKE SA và IPSec SA.
- IPSec cần các SA để bảo vệ lưu lượng
- Nếu chưa có các SA, IPSec sẽ yêu cầu IKE cung cấp các IPSec SA.
- IKE mở một phiên quản lý với các bên tham gia, và thương lượng tất cả các SA và các khóa cho IPSec.
- IPSec bắt đầu thực hiện bảo vệ lưu lượng