34.5. ความปลอดภัยในอินเทอร์เน็ต (INTERNET SECURITY)                                287



                            (end-to-end) ภาคส่งจะทำการพิสูจน์ทราบตัวตนหรืออาจพร้อมทั้งเข้ารหัสข้อมูล ภาครับจะการพิสูจน์
                            ทราบตัวตนและอาจต้องถอดรหัสแพกเกตที่ได้รับ ในกรณีนี้เฮดเดอร์ของ IPsec จะถูกใส่เข้าไปหลังจาก
                            เฮดเดอร์ของ IP

                          • ทันเนลลิ่งโหมด : แพกเกตของ IP ทั้งหมด ตั้งแต่เฮดเดอร์ จะถูกห่อหุ่ม (encapsulated) ด้วยแพกเกต

                            ใหม่ พร้อมทั้งเฮดเดอร์ของ IP ใหม่ การใช้งานของโหมดนี้จะมีประโยชน์เมื่อปลายทางของทันเนล (tunnel)
                            หรืออุโมงค์ส่งข้อมูลเสมือนจริง ไม่ใช่ภาครับของแพกเกตโดยตรง


                      Authentication Header

                      การใช้งานของ Authentication Header เพื่อสนับสนุนความถูกต้องของข้อมูล (data integrity) และ การพิสูจน์
                      ทราบตัวตนของ IP แพกเกต การทำงานของการตรวจสอบความถูกต้องของข้อมูลนี้ เพื่อให้แน่ใจว่า ไม่มีแพก

                      เกตใดที่ถูกแก้ไขสามารถหลุดรอดการตรวจจับไปได้ระหว่างสื่อสาร การทำงานของการพิสูจน์ทราบตัวตนทำให้
                                                                           book)
                      ระบบปลายทาง (end system) รวมถึงอุปกรณ์เน็ตเวิร์คสามารถที่จะการพิสูจน์ทราบแอพพลิเคชันของผู้ใช้และ
                      กลั่นกรอง (filter) ทราฟฟิก นอกจากนี้ยังป้องการโจมตีด้วยการปลอมแปลงแอดเดรส (address spoofing attack)
                      ในอินเทอร์เน็ตและป้องกันการโจมตีแบบทวนข้อความซํ้า (replay attack) รูปที่ 34.10 แสดงฟิลด์ของ AH โดยที่
                      แต่ละฟิลด์มีรายละเอียดดังนี้
                                                          (partial

                                      Next Header Payload lenght           Reserve


                                                   Security Parameter Index (SPI)


                                               only
                                                         Sequence number

                                                 Authentication data (variable length)

                                    KKU        รูปที่ 34.10: IP Sec Authentication Header







                          • Next Header (8 บิต) :ใช้ในการระบุถึงเฮดเดอร์ที่ตามมา

                          • Payload Length (8 บิต) : ขนาดของ Authentication Header ขนาดเป็นจำนวนทวีคูณของ 4 ไบต์ ลบ
                            ด้วย 2 เช่นการใช้ authentication data ที่ 96 บิต จะเท่ากับ 3 ชุดของ 4 ไบต์ เมื่อรวมกับอีก 3 ชุดของ

                            เฮดเดอร์ จะทำให้ได้ ความยาวของ payload เป็น 6-2 = 4

                          • Reserve (16 บิต): เผื่อไว้ใช้ในอนาคต

                          • Security Parameter Index (SPI) (32 บิต): เพื่อใช้ระบุ Security Association (SA) สำหรับทราฟฟิกที่

                            แพกเกตนั้นทำงานร่วม

                          • Sequence Number (32 บิต): จะถูกเพิ่มขึ้นที่ละหนึ่งในแต่ละแพกเกตเพื่อป้องกันการการโจมตีแบบทวน
                            ข้อความซํ้า

                          • Authentication Data (ไม่ระบุ): ใช้ในการจัดเก็บค่าเรียกว่า integrity check value (ICV) ดังนั้น ICV เป็น

                            ค่า authentication data ของแพกเกต ถูกสร้างขึ้นจาก message authentication code หรือ message