Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Các đặc tính và cấu trúc bảo mật của IPSec

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Các đặc tính và cấu trúc bảo mật của IPSec

    1. Các đặc tính
    • Các chức năng chứng thực và bảo mật độc lập với nhau
    + Các chức năng chứng thực và bảo mật độc lập với nhau. Việc này làm đơn giản hóa việc cài đặt và giảm ảnh hưởng thi hành của nó với hệ thống. Cho người dùng sử dụng có khả năng lựa chọn mức bảo vệ hay chứng thực thích hợp với giao dịch của họ.
    + Điều này cũng cho phép các công nghệ mật mã mới có thể tích hợp vào IPSec mà không cần thay đổi kiến trúc cơ sở.

    • Cài đặt ở tầng mạng cùng với thiết lập một chiều: Đưa chức năng bảo mật vào tầng mạng có nghĩa là mọi giao thức IP trên máy đều có thể hoạt động có bảo mật mà không cần sự can thiệp của từng người riêng biệt. Các giao thức dẫn đường cũng như TCP hay UDP đều có thể bảo mật.

    • Liên kết của máy và cổng: IPSec hổ trợ hai dạng kết nối cơ bản: máy đến máy (host to host) và cổng tới cổng (gateway to gateway):
    + Trong liên kết máy, các hệ thống gửi và nhận là hai hay nhiều máy chủ, chúng thiết lập kết nối an toàn để truyền giữa chúng.
    + Trong liên kết cổng, các hệ thống nhận và gửi là các cổng an ninh, chúng thiết lập kết nối tới các hệ thống ngoài (không tin cậy) thay mặt cho những trạm tin cậy được kết thành những mạng con (tin cậy) bên trong.
    + Ngoài ra còn có dạng kết nối máy tới mạng con. Trong trường hợp này, các cổng an ninh được thiết lập kết nối giữa các máy ở ngoài và các trạm tin cậy ở các mạng bên trong.

    • Quản lý khóa: Khả năng quản lý và và phân phối hiệu quả khóa mã là vô cùng quang trọng đối với thành công của một hệ thống mật mã bất kỳ. Việc chuẩn hóa những chức năng này làm cho nó có thể sử dụng được và quản trị các chức năng bảo mật IP trải trên nhiều lĩnh vực và nhiều người bán.

    2. Cấu trúc bảo mật của IPSEC
    Sử dụng các giao thức cung cấp mật mã nhằm bảo mật gói tin trong quá trình truyền: IPsec được triển khai sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin trong quá trình truyền, phương thức xác thực và thiết lập các thông số mã hoá.
    Cung cấp phương thức xác thực: Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP.

    Thiết lập các thông số mã hóa:
    • Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin đi ra ngoài, IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình đánh thứ tự và lưu trong dữ liệu bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (security association) cho mỗi gói tin. Một quá trình tương tự cũng được làm với gói tin đi vào, nơi IPsec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB.
    • Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liêu. Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân.
    Phạm Thanh Đông Khê
    Email: dongkhe@vnpro.org
    Hãy share hoặc like nếu thông tin hữu ích!
    ---------------------------------------------------------------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm, P.25, Q.Bình Thạnh, Tp.HCM
    Tel: (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home Page: http://www.vnpro.vn
    Forum: http://www.vnpro.org
    Twitter: https://twitter.com/VnVnpro
    LinkedIn: https://www.linkedin.com/in/VnPro
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Videos: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
    FB: http://facebook.com/VnPro
Working...
X