Tweet
Chứng thực:
• Phương pháp IPSec xác thực thông tin người dùng là sử dụng một chữ kí số. IPSec sử dụng 1 trong 3 phương pháp : Kerberos, Preshared Key , hay CAs để xác minh thông tin người gởi.
• Trong một số trường hợp, IPSec chỉ cung cấp dịch vụ chứng thực mà không bảo mật. Ví dụ: dữ liệu là công khai (như từ website), nhưng có ai đó muốn chắc chắn rằng đã nhận được dữ liệu đúng; khi đã sử dụng mật mã mạnh ở những tầng dưới hoặc tầng trên…
• Mã hóa mà không có chứng thực rất nguy hiểm.
Toàn vẹn dữ liệu:
• Toàn vẹn dữ liệu là để đảm bảo dữ liệu được nguyên vẹn , không bị thay đổi hay bị mất trong quá trình truyền.
• IPSec sử dụng thuật toán hàm băm, băm dữ liệu trước khi truyền. Thuật toán sẽ tạo ra một key để người nhận dùng để kiểm tra dữ liệu nhận được có phải là dữ liệu ban đầu được gởi, nếu khác key thì nghĩa là dữ liệu đã bị thay đổi trong lúc truyền , máy tính nhận sẽ hủy gói dữ liệu này. Một thuật toán băm được dùng để đảm bảo dữ liệu không bị thay đổi khi nó đi qua network.
Các thuật toán hash IPSec có thể dùng là:
+ Message Digest (MD5): băm một chiều tạo ra mảng băm 128-bit dùng để kiểm tra tính toàn vẹn.
+ Secure Hash Algorithm 1 (SHA-1): một key bí mật 160-bit tạo một message digest 160-bit cung cấp bảo mật hơn MD5.
Dữ liệu riêng tư:
• Để đảm bảo dữ liệu không bị lấy trộm trong quá trình truyền thì IPSec sử dụng một thuật toán mã hóa để mã hóa dữ liệu trước khi truyền. Thuật toán mã hóa bảo đảm dữ liệu bị lấy trộm sẽ không thể được giải mã, chỉ có người nhận mới có thể giải mã được gói dữ liệu này.
• IPSec đảm bảo tính tuyệt mật của dữ liệu bằng cách áp dụng các thuật toán mã hoá dữ liệu trước khi được gởi qua mạng. IPSec có thể dùng một trong những thuật toán mã hoá sau:
+ Mã hoá dữ liệu chuẩn (DES): thuật toán mã hoá chuẩn dùng trong Windows Server 2003 sử dụng mã hoá 56-bit
+ Triple DEC (3DES): dữ liệu được mã hóa với một key, giải mã với những key khác, và mã hoá lại với một key khác.
+ DES 40-bit: thuật toán mã hoá ít an toàn nhất
Anti -replay:
• Anti-replay là giao thức bảo mật một chiều để thiết lập kết nối bảo mật giữa 2 nút trong mạng.
• Anti - replay là giao thức con của IPSec, mục đích chính là ngăn chặn kẻ tấn công tạo ra sự thay đổi trong gói tin bằng việc thêm vào các gói tin trong lúc truyền. Khi kết nối được thiết lập, nguồn gởi sẽ thêm vào mỗi gói tin đã được mã hóa 1 con số bắt đầu từ 0 và tăng lên sau mỗi lần gởi một gói tin mới. Ở nguồn nhận, khi nhận được gói dữ liệu, nó sẽ lưu lại số được đánh trên gói tin và kiểm tra số đó, nếu nhỏ hơn số được đánh trên gói tin trước thì sẽ đánh rớt gói tin, còn nếu lớn hơn thì tiếp tục nhận gói tin.
Chống chối bỏ:
• IPSec sử dụng một chữ kí điện tử để xác nhận thông tin nguồn gốc cúa tin nhắn.
• Ví dụ như là với dịch vụ chữ ký điện tử, các doanh nghiệp có thể tiến hành ký kết hợp đồng trực tuyến và có thể hoàn toàn an tâm về nghĩa vụ pháp lý của mỗi bên. Sau khi đã thống nhất về các điều khoản của hợp đồng, doanh nghiệp sẽ sử dụng chữ ký số để ký kết các hợp đồng điện tử. Tính pháp nhân của người sở hữu chữ ký điện tử này đã được Vsign xác thực và đảm bảo. Chữ ký điện tử có giá trị pháp lý như chữ ký bằng tay nên các người ký phải hoàn toàn chịu trách nhiệm trước pháp luật về các văn bản được ký bằng chữ ký điện tử của mình.
• Với dịch vụ xác thực chữ ký điện tử online, người sử dụng có thể truy cập vào hệ thống để xác minh danh tính của người ký điện tử. Sử dụng dịch vụ này, doanh nghiệp có thể hoàn toàn yên tâm về danh tính của người sở hữu chữ ký điện tử.
• Ngoài ra, doanh nghiệp có thể sử dụng chữ ký số để xây dựng một hệ thống công văn nội bộ có độ bảo mật cao. Với hệ thống công văn nội bộ trực tuyến, việc chuyển giao công văn sẽ được tiến hành thuận lợi, nhanh chóng.
• Người sử dụng có thể tích hợp chữ ký điện tử vào thư điện tử (email). Chữ ký điện tử sẽ tăng tình bảo mật của các email và các eamil này có thể là một bằng chứng không thể chối cãi trong các tranh chấp liên quan đến giao dịch điện tử.
Dynamic rekey: Key có thể được tạo ra trong quá trình truyền để bảo vệ các phân đoạn của giao tiếp với các key khác nhau.
Bộ lọc IP: Các khả năng lọc gói tin của IPSec được sử dụng để lọc ra và chặn các loại hình cụ thể của giao thông IP, dựa trên một trong các yếu tố hoặc kết hợp nhiều yếu tố sau :
• Địa chỉ IP.
• Các giao thức .
• Các cổng giao tiếp.
• Phương pháp IPSec xác thực thông tin người dùng là sử dụng một chữ kí số. IPSec sử dụng 1 trong 3 phương pháp : Kerberos, Preshared Key , hay CAs để xác minh thông tin người gởi.
• Trong một số trường hợp, IPSec chỉ cung cấp dịch vụ chứng thực mà không bảo mật. Ví dụ: dữ liệu là công khai (như từ website), nhưng có ai đó muốn chắc chắn rằng đã nhận được dữ liệu đúng; khi đã sử dụng mật mã mạnh ở những tầng dưới hoặc tầng trên…
• Mã hóa mà không có chứng thực rất nguy hiểm.
Toàn vẹn dữ liệu:
• Toàn vẹn dữ liệu là để đảm bảo dữ liệu được nguyên vẹn , không bị thay đổi hay bị mất trong quá trình truyền.
• IPSec sử dụng thuật toán hàm băm, băm dữ liệu trước khi truyền. Thuật toán sẽ tạo ra một key để người nhận dùng để kiểm tra dữ liệu nhận được có phải là dữ liệu ban đầu được gởi, nếu khác key thì nghĩa là dữ liệu đã bị thay đổi trong lúc truyền , máy tính nhận sẽ hủy gói dữ liệu này. Một thuật toán băm được dùng để đảm bảo dữ liệu không bị thay đổi khi nó đi qua network.
Các thuật toán hash IPSec có thể dùng là:
+ Message Digest (MD5): băm một chiều tạo ra mảng băm 128-bit dùng để kiểm tra tính toàn vẹn.
+ Secure Hash Algorithm 1 (SHA-1): một key bí mật 160-bit tạo một message digest 160-bit cung cấp bảo mật hơn MD5.
Dữ liệu riêng tư:
• Để đảm bảo dữ liệu không bị lấy trộm trong quá trình truyền thì IPSec sử dụng một thuật toán mã hóa để mã hóa dữ liệu trước khi truyền. Thuật toán mã hóa bảo đảm dữ liệu bị lấy trộm sẽ không thể được giải mã, chỉ có người nhận mới có thể giải mã được gói dữ liệu này.
• IPSec đảm bảo tính tuyệt mật của dữ liệu bằng cách áp dụng các thuật toán mã hoá dữ liệu trước khi được gởi qua mạng. IPSec có thể dùng một trong những thuật toán mã hoá sau:
+ Mã hoá dữ liệu chuẩn (DES): thuật toán mã hoá chuẩn dùng trong Windows Server 2003 sử dụng mã hoá 56-bit
+ Triple DEC (3DES): dữ liệu được mã hóa với một key, giải mã với những key khác, và mã hoá lại với một key khác.
+ DES 40-bit: thuật toán mã hoá ít an toàn nhất
Anti -replay:
• Anti-replay là giao thức bảo mật một chiều để thiết lập kết nối bảo mật giữa 2 nút trong mạng.
• Anti - replay là giao thức con của IPSec, mục đích chính là ngăn chặn kẻ tấn công tạo ra sự thay đổi trong gói tin bằng việc thêm vào các gói tin trong lúc truyền. Khi kết nối được thiết lập, nguồn gởi sẽ thêm vào mỗi gói tin đã được mã hóa 1 con số bắt đầu từ 0 và tăng lên sau mỗi lần gởi một gói tin mới. Ở nguồn nhận, khi nhận được gói dữ liệu, nó sẽ lưu lại số được đánh trên gói tin và kiểm tra số đó, nếu nhỏ hơn số được đánh trên gói tin trước thì sẽ đánh rớt gói tin, còn nếu lớn hơn thì tiếp tục nhận gói tin.
Chống chối bỏ:
• IPSec sử dụng một chữ kí điện tử để xác nhận thông tin nguồn gốc cúa tin nhắn.
• Ví dụ như là với dịch vụ chữ ký điện tử, các doanh nghiệp có thể tiến hành ký kết hợp đồng trực tuyến và có thể hoàn toàn an tâm về nghĩa vụ pháp lý của mỗi bên. Sau khi đã thống nhất về các điều khoản của hợp đồng, doanh nghiệp sẽ sử dụng chữ ký số để ký kết các hợp đồng điện tử. Tính pháp nhân của người sở hữu chữ ký điện tử này đã được Vsign xác thực và đảm bảo. Chữ ký điện tử có giá trị pháp lý như chữ ký bằng tay nên các người ký phải hoàn toàn chịu trách nhiệm trước pháp luật về các văn bản được ký bằng chữ ký điện tử của mình.
• Với dịch vụ xác thực chữ ký điện tử online, người sử dụng có thể truy cập vào hệ thống để xác minh danh tính của người ký điện tử. Sử dụng dịch vụ này, doanh nghiệp có thể hoàn toàn yên tâm về danh tính của người sở hữu chữ ký điện tử.
• Ngoài ra, doanh nghiệp có thể sử dụng chữ ký số để xây dựng một hệ thống công văn nội bộ có độ bảo mật cao. Với hệ thống công văn nội bộ trực tuyến, việc chuyển giao công văn sẽ được tiến hành thuận lợi, nhanh chóng.
• Người sử dụng có thể tích hợp chữ ký điện tử vào thư điện tử (email). Chữ ký điện tử sẽ tăng tình bảo mật của các email và các eamil này có thể là một bằng chứng không thể chối cãi trong các tranh chấp liên quan đến giao dịch điện tử.
Dynamic rekey: Key có thể được tạo ra trong quá trình truyền để bảo vệ các phân đoạn của giao tiếp với các key khác nhau.
Bộ lọc IP: Các khả năng lọc gói tin của IPSec được sử dụng để lọc ra và chặn các loại hình cụ thể của giao thông IP, dựa trên một trong các yếu tố hoặc kết hợp nhiều yếu tố sau :
• Địa chỉ IP.
• Các giao thức .
• Các cổng giao tiếp.