Tải bản đầy đủ (.doc) (35 trang)
  1. Trang chủ
    2. >>
  2. Kỹ thuật
    3. >>
  3. Điện - Điện tử - Viễn thông

giao thức ipsec

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (659.92 KB, 35 trang )

Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
MỤC LỤC
MỤC LỤC 1
DANH MỤC HÌNH VẼ 2
DANH MỤC BẢNG 3
BẢNG THUẬT NGỮ VIẾT TẮT 4
LỜI MỞ ĐẦU 5
TRONG QUÁ TRÌNH THỰC HIỆN KHÔNG TRÁNH KHỎI NHỮNG SAI SÓT,
CHÚNG EM MONG SẼ NHẬN ĐƯỢC SỰ ĐÓNG GÓP CỦA THẦY VÀ CÁC
BẠN 6
Giao thức IPSec 1
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
DANH MỤC HÌNH VẼ
Hình 1.1: Mô hình chung
Hình 1.2: Chế độ Transport và chế độ Tunnel
Hình 1.3: Cấu trúc gói tin IPSec ở chế độ Transport
Hình 1.4: Gói tin IP ở chế độ Tunnel
Hình 1.5: Thiết bị mạng thực hiện IPSec ở chế độ Tunnel
Hình 1.6: Ba trường của SA
Hình 2.1: Cấu trúc AH cho IPSec datagram
Hình 2.2: Khuôn dạng IPv4 trước và sau khi xử lý AH ở chế độ Transport
Hình 2.3: Khuôn dạng IPv6 trước và sau khi xử lý AH ở chế độ Transport
Hình 2.4: Khuôn dạng gói tin đã xử lý AH ở chế độ Tunnel
Hình 2.5: Cửa số chống phát lại
Hình 2.6: Xử lý đóng gói ESP
Hình 2.7: Khuôn dạng gói ESP
Hình 2.9: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở chế độ Transport
Hình 2.10: Khuôn dạng gói tin đã xử lý ESP ở chế độ Tunnel
Giao thức IPSec 2


Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
DANH MỤC BẢNG
Bảng 1: Các trường trong tiêu đề IPv4 và IPv6
Bảng 2: So sánh giữa AH và ESP
Bảng 3: So sánh đặc trưng của hai giải pháp IPSec VPN và SSL VPN
Giao thức IPSec 3
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
BẢNG THUẬT NGỮ VIẾT TẮT
Chữ viết tắt Tiếng anh Tiếng việt
3DES Triple DES Thuật toán mã 3DES
ACK Acknowledge Chấp nhận
ACL Acess Control List
Danh sách điều khiển truy
nhập
AH Authentication Header Tiêu đề xác thực
ARP Address Resolution Protocol Giao thức phân giải địa chỉ
BOOTP Boot Protocol Giao thức khởi đầu
CHAP
Challenge – Handshake
Authentication Protocol
Giao thức nhận thực yêu cầu
bắt tay
CSU Channel Service Unit Đơn vị dịch vị kênh
DCE
Data communication
Equiment
Thiết bị truyền thông dữ liệu
DES Data Encryption Standard Thuật toán mã DES

DLCI
Data Link Connection
Identifier
Nhận dạng kết nối lớp liên
kết dữ liệu
ESP
Encapsulating Sercurity
Payload
Giao thức đóng gói an toàn
tải tin
HMAC
Hashed – keyed Message
Authentication Code
Mã nhận thực bản tin băm
ICMP
Internet Control Message
Protocol
Giao thức bản tin điều khiển
Internet
ICV Integrity check value Giá trị kiểm tra tính toàn vẹn
IP Internet Protocol Giao thức lớp Internet
IPSec IP Security Protocol Giao thức an ninh Internet
LAN Local Area Network Mạng cục bộ
Giao thức IPSec 4
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
LCP Link Control Protocol
Giao thức điều khiển đường
truyền
MAC Message Authentication Code Mã nhận thực bản tin

MD5 Message Digest 5
Thuật toán tóm tắn bản tin
MD5
MTU Maximum Tranfer Unit Đơn vị truyền tải lớn nhất
OSI Open System Interconnection Kết nối hệ thống mở
PAP
Password Authentication
Protocol
Giao thức nhận thực khẩu
lệnh
PDU Protocol Data Unit Đơn vị dữ liệu giao thức
PPP Point-to-point Protocol Giao thức điểm - điểm
RARP
Reverse Address Resolution
Protocol
Giao thức phân giải địa chỉ
ngược
RFC Request for Comment
Các tài liệu về tiêu chuẩn IP
do IETF đưa ra
RSA Rivest-Shamir-Adleman
Tên một quá trình mật mã
bằng khóa công cộng
SA Security Asociation Liên kết an ninh
SAD SA Database Cơ sở dữ liệu SA
SN Sequence Number Số thứ tự
SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1
UDP User Data Protocol Giao thức dữ liệu người dùng
VPN Vitual Private Network Mạng riêng ảo
LỜI MỞ ĐẦU

Trong thời đại Internet phát triển rộng khắp như ngày nay, những dịch vụ như đào
tạo từ xa, mua hàng trực tuyến, tư vấn y tế trực tuyến đã trở thành hiện thực. Tuy
nhiên, do Internet có phạm vị toàn cầu, không một tổ chức hay chính phủ nào quản lý
Giao thức IPSec 5
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
nên sẽ có rất nhiều khó khăn trong việc bảo mật, đảm bảo an toàn dữ liệu cũng như
chất lượng của các dịch vụ trực tuyến thông qua đường truyền mạng. Từ đó người ta
đưa ra mô hình mới nhằm thỏa mãn những yêu cầu trên mà vẫn tận dụng được cơ sở
hạ tầng mạng vốn có, đó chính là mạng riêng ảo (Virtual Private Network - VPN).
VPN được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ
sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an
ninh như một mạng riêng. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng
mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp cơ chế mã hóa dữ liệu trên
đường truyền tạo ra một đường ống bảo mật giữa nơi gửi và nơi nhận (Tunnel) giống
như một kết nối point – point trên mạng riêng. Và IPSec (Internet Protocol Security)
chính là một trong những giao thức tạo nên cơ chế “đường ống bảo mật” cho VPN.
Thông qua chuyên đề này, chúng em muốn đưa ra những khái niệm gần như cơ
bản nhất về IPSec. Bố cục chuyên đề gồm ba chương:
- Chương 1: Tổng quan về IPSec. Chương này đưa ra một cái nhìn khái quát về
IPSec
- Chương 2: Các giao thức chính của IPSec. Chương này trình bày những giao
thức chính, quan trọng trong IPSec dùng cho IP-VPN để đảm bảo tính toàn vẹn
dữ liệu, tính nhất quán, tính bí mật của truyền dữ liệu trên hạ tầng mạng công
cộng.
- Chương 3: Ưu khuyết điểm của IPSec
Trong quá trình thực hiện không tránh khỏi những sai sót, chúng em mong sẽ
nhận được sự đóng góp của thầy và các bạn.
Chúng em xin chân thành cảm ơn!
Hà Nội, ngày 26 tháng 4 năm 2012.

Giao thức IPSec 6
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
CHƯƠNG 1: TỔNG QUAN VỀ IPSEC

Chúng ta đều biết mạng Interner nguyên thủy được phát triển để truyền thông giữa
các máy tính tin cậy, vì thế nó hoàn toàn không hỗ trợ các dịch vụ an ninh. Nhưng
ngày nay, cùng với sự phát triển rộng khắp của Internet trên toàn thế giới, không có
một tổ chức hay chính phủ nào quản lý nên vấn đề an ninh, bảo mật, đảm bảo an toàn
dữ liệu là một trong những vấn đề quan trọng. Một mô hình mới, mô hình mạng riêng
ảo (VPN – Virtual Private Network) ra đời, nhằm thỏa mãn yêu cầu trên mà vẫn tận
dụng được cơ sở hạ tầng mạng vốn có. Và giao thức IPSec được phát triển , tạo nên cơ
chế “ đường ống bảo mật ” cho VPN.
1. GIỚI THIỆU
IPSec (Internet Protocol Security) là giao thức ở tầng Network (mô hình OSI),
được phát triển bởi IETF để cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu
và điều khiển truy cập. Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa
các phần thiết bị.
IPSec cho phép một đường ngầm bảo mật thiết lập giữa hai mạng riêng và nhận
thực hai đầu của đường ngầm này. Các thiết bị giữa hai đường ngầm có thể là hai host
hoặc hai cổng bảo mật hoặc một cặp thiết bị gồm một host và một cổng bảo mật.
Đường ngầm đóng vai trò là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu
yêu cầu an toàn được truyền trên đó. IPSec cũng thực hiện đóng gói dữ liệu các thông
tin để thiếp lập, duy trì và hủy bỏ kênh truyền khi không dùng đến nữa. Các gói tin
Giao thức IPSec 7
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
truyền trong đường ngầm có khuôn dạng giống các gói tin bình thường khác và không
làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng có trên mạng trung gian,
qua đó cho phép giảm đáng kể chi phí để triển khai và quản lý.

2. KIẾN TRÚC GIAO THỨC IPSEC
2.1 Mô hình chung
IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH (Authentication
Header) và ESP (Encapsulating Security Payload), trong đó IPSec phải hỗ trợ ESP và
có thể hỗ trợ AH:
• AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và
dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa hai hệ thống. AH
không cung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới dạng
bản rõ.
• ESP là một giao thức cung cấp tính an toàn của các gói tin được truyền bao
gồm: mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi kết
nối của dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã gói
tin IP. Tất cả lưu lượng ESP đều được mật mã giữa hai hệ thông. Với đặc điểm
này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu.
• Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa vào sự phân
phối của các khóa mật mã và quản lý các luồng giao thông có liên quan đến những
giao thức an toàn này
Những giao thức này có thể được áp dụng một mình hay kết hợp với nhau để cung
cấp tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhưng cách chúng cung
cấp các dịch vụ là khác nhau. Đối với cả hai giao thức AH và ESP này, IPSec không
định các thuật toán an toàn cụ thể được sử dụng, mà thay vào đó là một khung chuẩn
để sử dụng các thuật toán theo tiêu chuẩn công nghệ. IPSec sử dụng các thuật toán:
Mã nhận thực bản tin trên cở sở băm (HMAC), thuật toán MD5 (Message Digest 5),
thuật toán SHA-1 để thực hiện chức năng toàn vẹn bản tin; thuật toán DES, 3DES để
mật mã dữ liệu; thuật toán khóa chia sẻ trước. RSA chữ ký số và RSA mật mã giá trị
ngẫu nhiên (Nonces) để nhận thực các bên. Ngoài ra các chuẩn còn định nghĩa việc sử
dụng các thuật toán khác như IDEA, Blowfish và RC4.
Giao thức IPSec 8
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang

Hình 1.1: Mô hình chung
2.2 Các chế độ hoạt động
IPSec có hai chế độ cung cấp nhận thực và mã hóa mức cao để thực hiện đóng gói
thông tin, đó là chế độ Transport (truyền tải) và chế độ Tunnel (đường ngầm)
Giao thức IPSec 9
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
Hình 1.2: Chế độ Transport và chế độ Tunnel
2.2.1 Chế độ Transport (chế độ truyền tải)
Chế độ Transport cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP,
UDP hoặc ICMP). Trong chế độ Transport, phần IPSec header được chèn vào giữa
phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH
và ESP sẽ được đặt sau IP header nguyên thủy. Vì vậy chỉ có tải (IP payload) là được
mã hóa còn IP header ban đầu được giữ nguyên. Chế độ Transport có thể được dùng
khi cả hai host hỗ trợ IPSec. Chế độ này có thuận lợi là chỉ thêm vào vài bytes cho
mỗi packets và nó cũng cho phép các thiêt bị trên mạng thấy được địa chỉ cuối cùng
của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian
dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa,
làm giới hạn khả năng kiểm tra gói.
Hình 1.3: Cấu trúc gói tin IPSec ở chế độ Transport
Giao thức IPSec 10
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
Chế độ Transport thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn. Tuy
nhiên, nó hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không
mã hóa phần đầu IP. Chế độ này thường được dùng cho các kết nối từ đầu cuối đến
đầu cuối, ví dụ từ trạm làm việc đến máy chủ hoặc giữa hai trạm làm việc với nhau.
2.2.2 Chế độ Tunnel (chế độ đường hầm)

Không giống chế độ Transport, chế độ Tunnel bảo vệ toàn bộ gói dữ liệu. Toàn

bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header
được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP. Toàn bộ gói IP ban
đầu sẽ bị bao bọc bởi AH hoặc ESP header và một IP header mới. Toàn bộ các gói IP
sẽ được mã hóa và trở thành dữ liệu mới của gói IP mới. Chế độ này cho phép những
thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec Proxy thực hiện chức
năng mã hóa thay cho host. Router nguồn sẽ mã hóa các packets và chuyển chúng dọc
theo tunnel. Router đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối. Vì
vậy header mới sẽ có địa chỉ nguồn chính là gateway.
Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể được
mã hóa. Chế độ Tunnel được dùng khi một trong hai đầu của kết nối IPSec là security
gateway và địa chỉ đích thật sự phía sau các gateway không có hỗ trợ IPSec.
Hình 1.4: Gói tin IP ở chế độ Tunnel
Chế độ tunnel thường được dùng trong các liên kết bảo mật (SA-security
association) sẽ được giới thiệu ở phần sau, nối giữa hai gateway của hai mạng.
Hình 5 là ví dụ: router A xử lý các gói từ host A, gửi chúng vào đường ngầm.
Router B xử lý các gói nhận được trong đường ngầm, đưa về dạng ban đầu và chuyển
hóa chúng tới host B. Như vậy, các trạm cuối không cần thay đổi nhưng vẫn có được
tính an toàn dữ liệu của IPSec.
Giao thức IPSec 11
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
Hình 1.5: Thiết bị mạng thực hiện IPSec ở chế độ Tunnel
2.3 Liên kết bảo mật
SA (Security Associations): là một khái niệm cơ bản của bộ giao thức IPSec. Nó
là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các
dịch vụ IPSec
Gồm 3 trường:
Hình 1.6: Ba trường của SA
• SPI (Security Parameeter Index): là một trường 32 bit dùng để nhận giao
thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ

IPSec đang dùng. SPI như là phần đầu của giao thức bảo mật và thường
được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA.
• Destination IP address: địa chỉ IP của nút đích. Cơ chế quản lý hiện tại của
SA chỉ được định nghĩa cho hệ thống unicast mặc dù nó có thể là địa chỉ
broadcast, unicast, hay multicast.
• Security protocol: mô tả giao thức bảo mật IPSEC, là AH hoặc là ESP.
SA trong IPSec được triển khai bằng hai chế độ: Transport và Tunnel.
CHƯƠNG 2: CÁC GIAO THỨC CHÍNH
CỦA IPSEC
1. GIAO THỨC XÁC THỰC AH (Authentication header)
Giao thức IPSec 12
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
Giao thức AH (Authentication header) được định nghĩa trong RFC 1826 và sau đó
được phát triển lại trong RFC 2402. Giao thức AH cung cấp các cơ chế bảo vệ:
• Tính toàn vẹn thông tin (intergrity): cơ chế này đảm bảo gói tin được nhận
chính là gói tin đã gửi.
• Xác thực nguồn gốc thông tin: cơ chế này đảm bảo gói tin được gửi bởi
chính người gửi ban đầu mà không phải là người khác.
• Cơ chế chống phát lại (replay protection): (đây là cơ chế tùy chọn) cơ chế
này đảm bảo răng một gói tin không bị phát lại nhiều lần. Cơ chế này là
một thành phần bắt buộc đối với bên gửi tuy nhiên có thể tùy chọn sử dụng
hoặc không sử dụng.
AH cho phép xác thực các trường của IP header cũng như dữ liệu của các giao thức
ở lớp trên, tuy nhiên do một số trường của IP header thay đổi trong khi truyền và phía
phát có thể không dự đoán được trước các giá trị của chúng khi tới phía thu, do đó giá
trị của các trường này không bảo vệ được bằng AH. Có thể nói AH chỉ có thể bảo vệ
một phần IP header mà thôi. AH không có bất xứ xử lý nào để bảo mật dữ liệu của các
lớp trên, tất cả đều được truyền dưới dạng bản rõ. AH nhanh hơn ESP, nên có thể
chọn AH trong trường hợp chắc chắn về nguồn gốc và tính toàn vẹn dữ liệu nhưng

tính bảo mật dữ liệu không cần được chắc chắn.
1.1 Cấu trúc gói:
Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của
IP datagram, ở phần giữa IP header và header lớp 4. Bởi vì AH được liên kết với
IPSec, IP-VPN có thể định dạng để chọn lưu lượng nào cần được bảo vệ an toàn và
lưu lượng nào không cần sử dụng giải pháp an toàn giữa các bên. Ví dụ như bạn có
thể chọn để xử lý lưu lượng email nhưng không xử lý với các dịch vụ web. Quá trình
xử lỳ chèn AH header được diễn tả như trong hình 2.1.
Giao thức IPSec 13
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
Hình 2.1: cấu trúc AH cho IPSec datagram
Giải thích ý nghĩa các trường trong AH header:
- Next header: có độ dài 8 bit để nhận dạng loại dữ liệu của phần tải tin theo sau
AH. Giá trị này được chọn lựa từ tập các số giao thức IP đã được định nghĩa
trong các RFC gần nhất.
- Payload lengh (độ dài tải tin): có độ dài 8 bit và chứa độ dài của tiêu đề AH
được diễn tả trong các từ 32 bit, trừ đi 2. Ví dụ, chiều dài phần dữ liệu xác thực
là 96 bit (=3*32bit), cộng với chiều dài phần tiêu đề AH (cố định) là
3*32 bit nữa thành 6*32 bit, khi đó giá trị của trường kích thước dữ liệu là 4
- Reserved (dự trữ): trường 16bit này dự trữ cho ứng dụng trong tương lai
- Security Parameters Index (SPI: chỉ dẫn thông số an ninh): trường này có độ
dài 32 bit, mang tính chất bắt buộc. Nhận ra các thông số bảo mật, được tích
hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với
gói tin. Giá trị 1 – 255 được dành riêng, giá trị 0 được sử dụng cho mục đích
đặc biệt.
- Sequence number (số thứ tự): Đây là trường 32 bit không đánh dấu chứa một
giá trị mà khi mỗi gói được gửi đi thì tăng lên một. Trường này có tính bắt
buộc. Bên gửi luôn luôn bao gồm trường này ngay cả khi bên nhận không sử
dụng dịch vụ chống phát lại. Bộ đếm bên gửi và nhận được khởi tạo ban đầu là

0, gói đầu tiên có số thứ tự là 1. Nếu dịch vụ chống phát lại được sử dụng , chỉ
Giao thức IPSec 14
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
số này không thể lặp lại, sẽ có một yêu cầu kết thúc phiên truyền thông và SA
sẽ được thiết lập mới trở lại sau khi truyền 2
32
gói.
- Authentication Data (dữ liệu nhận thực): còn được gọi là ICV (Integrity Check
value: giá trị kiểm tra tính toàn vẹn) có độ dài thay đổi, bằng số nguyên lần của
32 bit đối với IPv4 và 64 bit đối với IPv6, và có thể chứa đệm để lấp đầy cho
đủ là bội số các bit như trên. ICV được tính toán sử dụng thuật toán nhận thực,
bao gồm mã nhận thực bản tin (Message Authentication Code MACs). MACs
đơn giản có thể là thuật toán mã hóa MD5 hoặc SHA-1. Các khóa dùng cho mã
hóa AH là các khóa xác thực bí mật được chia sẻ giữa các phần truyền thông có
thể là một số ngẫu nhiên, không phải là một chuỗi có thể đoán trước của bất cứ
loại nào. Tính toán ICV được thực hiện sử dụng gói tin mới đưa vào. Bất kỳ
trường có thể biến đổi của IP header nào đều được cài đặt bằng 0, dữ liệu lớp
trên được giả sử là không thể biến đổi. Mỗi bên tại đầu cuối IP-VPN tính toán
ICV này độc lập. Nếu ICV tính toán được ở phía thu và ICV được phía phát
truyền đến khi so sánh với nhau mà không phù hợp thì gói tin bị loại bỏ, bằng
cách như vậy sẽ đảm bảo rằng gói tin không bị giả mạo.
1.2 Quá trình xử lý AH
Hoạt động của AH được thực hiện qua các bước như sau:
- Bước 1: Toàn bộ gói IP (bao gồm IP header và tải tin) được thực hiện qua một
hàm băm một chiều
- Bước 2: Mã hash thu được dùng để xây dựng một AH header, đưa header này
vào gói dữ liệu ban đầu.
- Bước 3: Gói dữ liệu sau khi thêm AH header được truyền tới đối tác IPSec.
- Bước 4: Bên thu thực hiện hàm băm với IP header và tải tin, kết quả thu được

một mã hash.
- Bước 5: Bên thu tách mã hash trong AH header
- Bước 6: Bên thu so sánh mã hash mà nó tính được mà mã hash tách ra từ AH
header. Hai mã hash này phải hoàn toàn giống nhau. Nếu khác nhau chỉ một bit
trong quá trình truyền thì 2 mã hash sẽ không giống nhau, bên thu lập tức phát
hiện tính không toàn vẹn của dữ liệu.
1.2.1 Vị trí của AH
AH có hai chế độ hoạt động, đó là chế độ Transport và chế độ Tunnel. Chế độ
Transport là chế độ đầu tiên được sử dụng cho kết nối đầu cuối giữa các host hoặc các
thiết bị hoạt động như host và chế độ Tunnel được sử dụng cho các ứng dụng còn lại.
Giao thức IPSec 15
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
Ở chế độ Transport cho phép bảo vệ các giao thức lớp trên, cùng với một số trường
trong IP header. Trong kiểu này, AH được chèn vào sau IP header và trước một giao
thức lớp trên (chẳng hạn như TCP, UDP, ICMP…) và trước các IPSec header đã được
chen vào. Đối với IPv4, AH đặt sau IP header và trước giao thức lớp trên (ví dụ ở đây
là TCP). Đối với IPv6, AH được xem như phần tải đầu cuối tới đầu cuối, nên sẽ xuất
hiện sau các phần header mở rộng hop-to-hop, routing và fragmentation. Tiêu đề đích
tùy chọn (dest options extension header) có thể trước hoặc sau AH. Vị trí tương quan
của tiêu đề này với AH phụ thuộc vào việc quá trình xử lý xác định đối với nó diễn ra
trước hay sau khi quá trình xác thực diễn ra.
Hình 2.2: Khuôn dạng IPv4 trước và sau khi xử lý AH ở chế độ Transport
Hình 2.3: Khuôn dạng IPv6 trước và sau khi xử lý AH ở chế độ Transport
Trong chế độ Tunnel, inner IP header mang địa chỉ nguồn và đích cuối cùng, còn
outer IP header mang địa chỉ để định tuyến qua Internet. Trong kiểu này, AH bảo vệ
toàn bộ gói tin IP bên trong, bao gồm cả inner IP header (trong khi AH transport chỉ
bảo vệ một số trường của IP header). Đối với outer IP header thì vị trí của AH giống
như trong kiểu Transport.
Giao thức IPSec 16

Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
Hình 2.4: Khuôn dạng gói tin đã xử lý AH ở chế độ Tunnel
1.2.2 Các thuật toán xác thực
Thuật toán xác thực sử dụng để tính ICV được xác định bởi liên kết bảo mật SA
(Security Association). Đối với truyền thông điểm tới điểm, các thuật toán xác thực
thích hợp bao gồm các hàm băm một chiều (MD5, SHA-1). Đây chính là những thuật
toán bắt buộc mà một ứng dụng AH phải hỗ trợ.
1.2.3 Xử lý gói đầu ra
Một khi đã xác định rằng thông điệp gửi đi được bảo vệ bởi AH, và đã xác định
được một SA phù hợp quản lý việc truyền thông điệp này. Thông điệp được chuyển
tiếp quá trình xử lý IPSec. Quá trình này gồm các bước sau:
- Bước 1: Thêm một khuôn dạng AH vào vị trí thích hợp.
- Bước 2: Thêm vào trường next header.
- Bước 3: Thêm vào trường SPI bằng giá trị SPI của SA được chọn ở trên.
- Bước 4: Tính giá trị sequence number (giá trị max của trường này là 2
(32-1)
).
Nếu giá trị này chưa đạt giá trị max thì chỉ cần tăng sequence number lên một
đơn vị. Giá trị mới này được cất vào AH và SAD. Ngược lại khi sequence
number đã đạt đến giá trị max thì có thể xảy ra các tình huống như sau: nếu
khóa bí mật giữa các bên của SA đã được thỏa thuận, đây là thời điểm thỏa
thuận một khóa mới bất kể bên nhận có sử dụng chức năng chống phát lại hay
không. Thông điệp này có thể được giữ lại hoặc hủy bỏ cho đến khi quá trình
thỏa thuận khóa mới diễn ra. Nếu khóa của SA được tạo ra thủ công, nghĩa là
hai bên thỏa thuận khóa với nhau thông qua một số cách xác định như là qua
điện thoại hoặc sử dụng thư và nếu bên gửi biết rằng bên nhận không sử dụng
chức năng chống phát lại thì sequence number đơn giản được reset về giá trị
một. Đối với việc thỏa thuận khóa thủ công trong trường hợp người nhận sử
Giao thức IPSec 17

Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
dụng chứng năng chống phát lại, cần phải thỏa thuận một khóa mới. Cho tới
lúc đó thông điệp chưa được gửi đi và quá trình xử lý AH lúc này bị treo (halt).
- Bước 5: Đối với chế độ transport, trường next header được chuyển thành AH.
- Bước 6: Thêm trường tiêu đề tunnel nếu cần thiết. Nếu SA sử dụng chế độ
tunnel thì một tiêu đề IP bổ xung được tạo ra và thêm vào thông điệp. Địa chỉ
nguồn và đích của tiêu đề IP bổ xung này là các đầu cuối của tunnel được xác
định bởi SA.
Nếu cả tiêu đề bên trong và bên ngoài đều là IPv4 thì một số trường sau
được chép từ inner header ra outer header; version, TOS, Protocol, Fragment
identification, MF Flag và Fragment offset. Một số trường sau cần phải tính
toán lại: Header length, total length và header checksum. Việc tính toán lại các
giá trị này là cần thiết vì các trường này thể hiện cho cả outer header và inner
header lẫn AH. Trường next header được thiết lập là AH. Trường optional
không được sao chép. Trường TTL được thiết lập giá trị mặc định của hệ
thống. Giá trị này có thể được chép từ inner header hoặc được gán giá trị bằng
1 để chống phân mảnh, hoặc gán giá trinh bằng 0 để cho phép phân mảnh. Các
trường của inner header được giữ nguyên ngoại trừ một ngoại lệ: nếu địa chỉ
nguồn của inner header và outer header là khác nhau có nghĩa là gói tin bên
trong đã đi đến địa chỉ điểm nguồn của tunnel do đó giá trị TTL (Time to live)
bị giảm và do đó cần phải tính lại giá trị checksum trong inner header để phản
ánh sự thay đổi này.
Nếu cả hai tiêu đề đều là IPv6, một số trường sau được chép từ inner header
ra outer header: version và traffic class. Trường Payload length được tính toán
lại do tại thời điểm này trường này thể hiện giá trị tổng cộng của inner header,
outer header và AH. Trường next header được thiết lập là AH hoặc là giá trị
của phần mở rộng tùy chọn đừng trước AH. Những trường mở rộng này không
thể sao chép một cách thuần túy. Trường Hop limited được gán giá trị mặc định
của hệ thống. Các trường của inner header được giữ nguyên ngoại trừ một

ngoại lệ nếu địa chỉ nguồn của inner header và outer header khác nhau tức là
gói tin inner đã đi đến địa điểm nguồn của tunnel. Lúc này giá trị Hop-limmited
bị giảm đi một đơn vị. Điều này dẫn tới việc phải tính toán và cập nhật lại giá
trị của trường checksum trong inner header.
Nếu inner header là IPv4 header và outer header là IPv6 hoặc ngược lại thì
quá trình xử lý có vài điểm khác biệt. Trường version field được thiết lập là 4
đối với IPv4 và 6 đối với IPv6 header. Trường Traffic class được chuyển sang
TOS, địa chỉ nguồn và địa chỉ đích được chuyển đổi sang định dạng phù hợp
nếu cần thiết.
Giao thức IPSec 18
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
- Bước 7: Tính toán dữ liệu xác thực. Lưu ý rằng toàn bộ thông điệp không được
bảo vệ bởi AH, bởi vì IP header chứa 3 loại dữ liệu cơ bản sau: Immutable data
(các dữ liệu không thay đổi trong quá trình truyền), mutable data but predicable
(các dữ liệu không thay đổi trong quá trình truyền nhưng có thể dự đoán được)
và mutable unpredictable data (các dữ liệu thay đổi trong quá trình truyền và
không thể dự đoán được). Bảng dưới đây sẽ phân loại các trường này trong
IPv4 header và IPv6 header. Chỉ những trường chứa immutable data hoặc
mutable data but predicable được đưa vào hàm băm để tính. Trong transport
mode chỉ những trường này của IP header được đưa vào hàm băm. Trong
tunnel toàn bộ inner header và thông điệp gốc được đưa vào hàm băm tuy
nhiên chỉ những immutable data và mutable data but predicable của outer
header được đưa vào hàm băm. Đối với các trường chứa dữ liệu mutable
unpredic data có các hướng giải quyết như sau: không đưa chúng vào hàm băm
hoặc thay thế chúng bằng các giá trị zero. Trên thực tế người ta áp dụng cách
thứ 2. Vì cách làm này đảm bảo hàm băm luôn thực hiện trên dữ liệu có chiều
dài xác định, đây là cách làm tổng quát.
Thuật toán băm áp dụng với AH là HMAC-MD5 (sinh ra 128bit) và
HMAC-SHA1 (sinh ra 160 bit). Trong AH để đảm bảo cho số lượng byte ngoài

biên được phù hợp cho quá trình xử lý, AH giảm số lượng bit xuống còn 96 bit.
Một khi đã thêm trường ICV vào AH thông điệp đã sẵn sàng.
IPv4 IPv6
Không thay
đổi
Version
Internet header length
Total length
Identification
Protocol (should be value
for AH)
Source address
Destination address
(without source routing)
Option type/data
length/data (classified as
immutable)
Version
Payload length
Next header (AH)
Source address
Destination address (without
routing extension header)
-
Destination and hop-by-hop
extension headers option
type/data length
Destination and hop-by-hop
extension headers option
data (optinon type classified

Giao thức IPSec 19
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
as immutable)
Thay đổi
nhưng có thể
dự đoán được
Destination address (with
source routing)
-
Destination address (with
source routing)
Routing extension header
Thay đổi và
không thể dự
đoán
TOS
Flags
Fragment offset
TTL
Header checksum
Option type/data
length/data (classified as
mutable)
Class
Flow label
Hop limit
Destination and hop-by-hop
extension headers: option dât
(option type classified as

mutable)
-
-
Bảng 1: Các trường trong tiêu đề IPv4 và IPv6
- Bước 8: Phân mảnh thông điệp nếu cần thiết. Nếu việc thêm AH và đặc biệt
thêm các tiêu đề trong tunnel mode làm kích thước thông điệp quá lớn thì việc
phân mảnh là cần thiết. Việc phân mảnh có thể diễn ra tại thời điểm này.
Trong chế độ transport địa chỉ nguồn luôn luôn là địa chỉ khởi tạo của thông điệp
nên toàn bộ thông điệp có thể xác thực trước khi quá trình phân mảnh diễn ra.
Trong chế độ tunnel địa chỉ nguồn của inner header luôn là địa chỉ khởi tạo của
thông điệp, nếu địa chỉ này khác địa chỉ source của outer header thì thông điệp có thể
đã bị phân mảnh trước khi rời khỏi host ban đầu. Trong trường hợp đó tunnel header
xác thực trên thông điệp đã bị phân mảnh và có thể sẽ bị phân mảnh tại thời điểm này.
1.2.4 Xử lý gói đầu vào
Khi nhận được một thông điệp có chứa AH, quá trình xử lý IP trước tiên sẽ tổng
hợp các phân mảnh thành thông điệp hoàn chỉnh. Sau đó thông điệp này sẽ được
chuyển tới quá trình xử lý IPSec. Quá trình này gồm các bước như sau:
- Bước 1: Xác định đầu vào SA tương ứng trogn SAD. Bước này được thực hiện
dựa trên các thông số: SPI, địa chỉ nguồn, giao thức AH. SA tương ứng kiểm
tra trong gói AH để xác định xem node nào được áp dụng chế độ transport hay
tunnel hay cả hai. Gói cũng phải cung cấp một số thông số để giới hạn tầm tác
động của SA (ví dụ: port hay protocol). Nếu đây là tunnel header SA phải so
sánh các thông số này trong packer inner vì các thông số này không được sao
Giao thức IPSec 20
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
chép sang tunner header. Khi SA phù hợp được tìm thấy, quá trình được tiếp
tục, ngược lại gói tin sẽ bị hủy bỏ.
- Bước 2: Nếu chức năng chống phát lại được kích hoạt, phía xuất phát của gói
tin AH luôn tăng số đếm chống phát lại. Bên nhận có thể bỏ qua hoặc sử dụng

chỉ số này để chống phát lại. Tuy nhiên giao thức IP không đảm bảo rằng trình
tự của các gói khi đến bên nhận giống như trình tự các gói lúc chúng được gửi
đi. Do đó chỉ số này không thể dùng để xác định thứ tự các gói tin. Tuy nhiên
chỉ sổ này vẫn có thể sử dụng để xác định mối liên hệ về thứ tự với một cửa sổ
có chiều dài là bội số của 32 bits.
Đối với mỗi đầu vào SA, SAD lưu trữ một cửa sổ chống phát lại. Kích
thước của cửa sổ là bội số của 32 bit với giá trị mặc định là 64 bit. Một cửa sổ
chống phát lại có kích thước N kiểm soát sequence number của N thông điệp
được nhận gần nhất. Bất cứ thông điệp nào có sequence number nhỏ hơn miền
giá trị của cửa sổ phát lại đều bị hủy bỏ. Các thông điệp có số sequence number
đã tồn tại trong cửa sổ phát lại cũng bị hủy bỏ.
Một bit mask (hoặc một cấu trúc tương tự) được sử dụng để kiểm soát
sequence number của N thông điệp được nhận gần nhất đối với SA này. Ban
đầu một bit-mask 64 bit có thể giám sát sequence number của các thông điệp
có sequence number nằm trong đoạn 1,64. Một khi xuất hiện một thông điệp có
số sequence number lớn hơn 64 (ví dụ 70), bit-mask sẽ dịch chuyển để giám sát
các số sequence number trong đoạn 7,70. Do đó nó sẽ hủy bỏ các thông điệp có
sequence number nhỏ hơn 7, hoặc các thông điệp có số sequence number đã
xuất hiện trong cửa sổ chống phát lại, dưới đây minh họa hoạt động của cửa sổ
chống phát lại.
Giao thức IPSec 21
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
Hình 2.5: Cửa số chống phát lại
- Bước 3: Kiểm tra tính xác thực của dữ liệu. Hàm băm được tính toán tương tự
như gói tin đầu ra. Nếu kết quả tính không trùng với ICV trong thông điệp thì
hủy bỏ thông điệp, ngược lại sẽ chuyển sang giao đoạn tiếp theo.
- Bước 4: Loại bỏ AH và tiếp tục quá trình xử lý IPSec cho các phần còn lại của
tiêu đề IPSec.
- Bước 5: Kiểm tra trong SAD để đảm bảo rằng các IPSec policy áp dụng với

thông điệp trên thỏa mãn hệ thống policy yêu cầu. Giai đoạn quan trọng này rất
khó minh họa trong trường hợp quá trình xác thực sử dụng AH.
2. GIAO THỨC ĐÓNG GÓI ESP
ESP được định nghĩa trong RFC 1872 và sau đó được phát triển thành RFC 2408.
Cũng như AH, giao thức này được phát triển hoàn toàn cho IPSec. ESP cung cấp hai
cơ chế bảo vệ, một cơ chế là của riêng ESP và một cơ chế là sự lặp lại cơ chế được
cung cấp bởi AH. Các cơ chế sau được cung cấp bởi ESP mà không có trong AH:
- Tính riêng tư (confidentialy): Điều này đảm bảo một thông điệp nếu bị bắt trên
đường truyền thì bên trung gian không thể hiểu được nội dung của thông điệp
mà điều này chỉ bên gửi và bên nhận mới hiểu được.
- Bảo vệ việc phân tích truyền thống (chỉ có trong chế độ tunnel): Điều này đảm
bảo rằng các bên trung gian không thể xác định được các đối tượng đang liên
lạc với nhau, tần số và lượng thông tin trao đổi giữa các bên.
Giao thức IPSec 22
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
ESP có thể cung cấp một số cơ chế bảo vệ đa cung cấp trong AH: tính toàn vẹn dữ
liệu, xác thực nguồn gốc, chống phát lại.
Có một số điểm khác biệt về tính toàn vẹn dữ liệu và xác thực nguồn gốc được
cung cấp bởi AH và ESP. Một AH hoạt động ở chế độ transport bảo vệ cả tiêu đề IP
và dữ liệu trong gói trong khi chế độ transport ESP chỉ bảo vệ dữ liệu trong gói tin.
Trong chế độ tunnel cả 2 cơ chế này đều bảo vệ tiêu đề ban đầu, nhưng chỉ có AH bảo
vệ tiêu đề bên ngoài. Tuy nhiên việc tạo ra SA, có thể gián tiếp xác thực địa chỉ IP do
đó giúp xóa bỏ sự khác biệt này.
2.1 Cấu trúc gói
Hoạt động của ESP khác hơn so với AH. Như ngụ ý trong tên gọi, ESP đóng gói
tất cả hoặc một phần dữ liệu gốc. Do khả năng bảo mật dữ liệu nên xu hướng ESP
được sử dụng rộng rãi hơn AH. Phần header của giao thức nằm ngay trước ESP
header có giá trị 51 trong trường protocol của nó. Hình 2.6 diễn tả quá trình xử lý
đóng gói:

Hình 2.6: Xử lý đóng gói ESP
Sau đây sẽ định nghĩa các trường trong ESP. Lưu ý các trường này có thể là tùy
chọn hay bắt buộc. Việc lựa chọn một trường tùy chọn được định nghĩa trong quá
trình thiết lập liên kết bảo mật. Như vậy, khuôn dạng ESP đối với SA nào đó là cố
định trong khoảng thời gian tồn tại của SA đó. Còn các trường bắt buộc luôn có mặt
trong tất cả các ESP.
Giao thức IPSec 23
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
Hình 2.7: Khuôn dạng gói ESP
- SPI (chỉ dẫn thông số an ninh): là một số bất kỳ 32 bit, cùng với địa chỉ IP đích
và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu này.
Các giá trị SPI từ 0 đến 225 được dành riêng để sử dụng trong tương lai. SPI
thường được chọn lựa bởi phía thu khi thiết lập SA. SPI là trường bắt buộc.
- Sequence Number (số thứ tự): 32 bít, tương tự như trường số thứ tự của AH
- Payload Data ( trường dữ liệu tải tin): đây là trường bắt buộc. Nó bao gồm một
số lượng biến đổi các byte dữ liệu gốc hoặc một phần dữ liệu yêu cầu bảo mật
đã được mô tả trong trường Next Header. Trường này được mã hóa cùng với
thuật toán mã hóa đã lựa chọn trong suốt quá trình thiết lập SA. Nếu thuật toán
yêu cầu các vecto khởi tạo thì nó cũng được bao gồm ở đây. Thuật toán được
dùng để mã haa ESP thường là thuật toán DES-CBC. Đôi khi các thuật toán
khác cũng được hỗ trợ như 3DES hay CDMF trong trường hợp nhà cung cấp
dịch vụ IBM.
- Padding (0 đến 255 byte): có nhiều nguyên nhân dẫn đến sự có mặt của trường
này:
+ Nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (plaintext) phải là số
nguyên lần khối các byte (ví dụ trường hợp mã khối) thì Paddinh được sử dụng
để điền đầy vào plaintext (bao gồm Payload Data, Pad Length, Next header và
Padding ) có kích thước theo yêu cầu.
+ Padding cũng cần thiết để đảm bảo phần dữ liệu mật mã (ciphertext) sẽ

kết thúc ở biên giới 4 byte để phân biệt rõ ràng với trường Authentication Data.
Giao thức IPSec 24
Chuyên Đề Mạng Viễn Thông
Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang
Ngoài ra, Padding còn có thể sử dụng để che dấu độ dài thực của Payload,
tuy nhiên mục đích này cần phải được cân nhắc vì nó ảnh hưởng tới băng tần
truyền dẫn.
- Pad length (độ dài trường đệm): trường này xác định số byte Pading được
thêm vào. Các giá trị phù hợp là 0 đến 255 byte, Pad length là trường bắt buộc.
- Next Header (tiêu đề tiếp theo): trường này dài 8 bit, xác định kiểu dữ liệu
chứa trong Payload Data, ví dụ một extension header trong IPv6, hoặc nhận
dạng của một giao thức lớp trên khác. Giá trị của trường này được lựa chọn từ
tập các giá trị IP Protocol Number định nghĩa bởi IANA. Next Header là
trường bắt buộc. Ví dụ: nếu là TCP giá trị là 6, nếu là UDP giá trị là 17 khi
dùng chế độ Transport, khi dùng chế độ Tunnel là 4 (IP-in-IP).
- Authentication Data (dữ liệu nhận thực): trường có độ dài biến đổi chứa một
giá trị kiểm tra tính toàn vẹn ICV tính trên dữ liệu của toàn bộ gói ESP trừ
trường Authentication Data. Độ dài của trường này phụ thuộc vào thuật toán
xác thực được sử dụng. Trường này là tùy chọn, và chỉ được thêm vào nếu dịch
vụ xác thực được lựa chọn cho SA đang xét. Thuật toán xác thực phải chỉ ra độ
dài ICV và các bước xử lý cũng như các luật so sánh cần thực hiện để kiểm tra
tính toàn vẹn của gói tin.
2.2 Quá trình xử lý ESP
2.2.1 Vị trí của ESP header

ESP có hai chế độ hoạt động, đó là chế độ transport và chế độ Tunnel.
Chế độ Transport cho phép bảo vệ các giao thức lớp trên, nhưng không bảo vệ IP
header. Trong kiểu này, ESP được chèn vào sau một IP header và trước một giao thức
lớp trên (chẳng hạn TCP, UDP hay ICMP…) và trước IPSec header đã được chèn vào.
Đối với IPv4, ESP header đặt sau IP header và trước giao thức lớp trên (ví dụ ở đây là

TCP). ESP trailer bao gồm các trường Padding, Pad length và Next header. Đối với
IPv6, ESP được xem như phần tải đầu cuối tới đầu cuối, nên sẽ xuất hiện sau phần
header mở rộng hop-to-hop, routing và fragmentation. Các lựa chọn đích (dest options
extention header) có thể trước hoặc sau ESP header. Tuy nhiên, do ESP chỉ bảo vệ các
trường phía sau ESP header, nên các lựa chọn đích thường được đặt sau ESP header.
Nếu một gói tin đã được mã hóa, một destionation option header theo sau trường ESP
header không thể được đọc bởi bất cứ một đích trung gian nào. Nó chỉ xuất hiện trở lại
khi quá trình xử lý ESP header mã hóa đã được thực hiện ở đích đến cuối cùng. Chi
tiết về IPv6 có thể xem trong RFC 1883.
Giao thức IPSec 25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×