NGHIÊN CỨU CÁC VẤN ĐỀ BẢO MẬT NÂNG CAO
VỚI Ipv6
4. Nghiên cứu các vấn dề bảo mật nâng cao với IPv6
4.1. Nghiên cứu các tùy chọn bảo mật riêng cho IPV6 (Privacy Addresses)
Ipv6 cung cấp một số lựa chọn địa chỉ khác nhau để hỗ trợ bảo mật. Bảo
mật địa chỉ có thể được thực hiện bằng cách theo dõi các ứng dụng của người
dùng, hoặc từ các thông tin từ bên ngoài. Phần này sẽ nói rõ hơn về privacy
addressing trong IPv6, sự khác biệt giữa IPv6 và IPv4.
Theo RFC 4291, các thiết bị tự động cấu hình địa chỉ định danh duy nhất
toàn cầu theo cách thức định danh IEEE EUI-64. Điều này cung cấp cho cho
card mạng một địa chỉ duy nhất gọi là địa chỉ MAC, nó không bị thay đổi ngay
cả khi được chuyển sang mạng khác.
Một giao diện chấp nhận các kết nối gửi đến một DNS không thể có một
địa chỉ tin tưởng, nhưng nó vẫn còn có thể sử dụng các địa chỉ khác nhau cho
các kết nối gửi đi. Trong RFC 4941, phần mở rộng bảo mật cho Stateless
Address Autoconfiguration trong IPv6 được định nghĩa để tạo ra và thay đổi địa
chỉ tạm thời như vậy. Các yêu cầu quan trọng là trình tự các địa chỉ tạm thời một
giao diện lựa chọn phải được hoàn toàn không thể đoán trước và có xác suất
thấp ít trùng với sự lựa chọn được thực hiện bởi các giao diện khác.
Các phương pháp được đề xuất trong RFC 4941 hoạt động như sau:
Lấy thông tin về định danh giao diện mà có thể được sử dụng mà không
có kế hoạch này.
Áp dụng một hàm băm mật mã giá trị này và một trong hai giá trị lịch sử
lưu hoặc một số 64-bit được chọn ngẫu nhiên.
Sử dụng đầu ra của hàm băm để chọn định danh giao diện và cập nhật các
giá trị lịch sử.
Chạy lệnh Duplicate Address Detection (DAD).
Thiết lập thời gian sống thích hợp và tham gia nhóm multicast của nút
tương ứng với định danh giao diện.
Tiếp tục sử dụng định danh giao diện trước cho các kết nối liên tục, nhưng
không phải cho những cái mới.

1
Lặp lại quá trình này bất cứ khi nào một trong những kết nối với một
mạng mới, hoặc thiết lập các bộ định thời trong quá trình lặp đi lặp lại trước hết
hạn.
Ví dụ bảo mật riêng cho IPV6
Như một ví dụ về bảo mật sự riêng tư giải quyết hình trên cho thấy một
giao diện Ethernet / 24 với một địa chỉ IPv4 không thể định tuyến chung, / 64
trên toàn cầu có khả năng định tuyến địa chỉ IPv6 được tạo ra với sự riêng tư
giải quyết, trên toàn cầu có khả năng định tuyến thứ hai / 64 địa chỉ IPv6 dựa
trên địa chỉ IEEE, và liên kết địa chỉ IPv6 địa phương dựa trên địa chỉ IEEE của
nó.
Đối với một số lý do, cơ chế bảo mật mở rộng nên được sử dụng với việc
chăm sóc, nếu nó được sử dụng ở tất cả:
- Bảo mật được thực sự cung cấp bao nhiêu là vấn đề. Đặc biệt là trên các
mạng nhỏ không thay đổi nhiều, bất cứ ai có thể quan sát lưu lượng truy
cập mạng cũng có thể tương quan hoạt động tương đối chính xác bất kể
có hoặc không có địa chỉ thay đổi định kỳ. Một người quan sát thậm chí
có thể có thể xác định mức độ thường xuyên mỗi giao diện là tạo ra địa
chỉ mới.
- Trên một số mạng, các quản trị viên có thể muốn có kiểm soát tốt hơn
những gì được kết nối và tương ứng với địa chỉ được sử dụng. Chính sách
an ninh địa phương có thể ra lệnh cho mục đích kiểm toán, pháp y, tất cả
2
các địa chỉ phải được Trung ương giao và đăng nhập.Trong những trường
hợp như vậy, tốt hơn là không để cho phép các địa chỉ riêng tư hoặc tự
động cấu hình địa chỉ không quốc tịch, nhưng yêu cầu sử dụng DHCPv6
cho các bài tập địa chỉ.
- Nhìn chung, chính sách an ninh doanh nghiệp không mở rộng quyền của
truyền thông tư nhân để một người dùng trên một máy tính doanh nghiệp
hoặc truy cập vào mạng doanh nghiệp.Trong những trường hợp này, các

mục tiêu của pháp y và an ninh có thể được xem như là quan trọng hơn so
với mục tiêu bảo vệ sự riêng tư của người dùng trong khi sử dụng
Internet. Đây là một quyết định chính sách cần được trái lên đến các bộ
phận cá nhân hoặc cơ quan.
- Thực hành tốt mạng là để áp dụng lọc xâm nhập, đó là, không cho phép
các gói tin mà không có địa chỉ nguồn hợp lệ vào cốt lõi của mạng.Một số
phân phối các cuộc tấn công tấn công từ chối dịch vụ (DDOS) đã sử dụng
địa chỉ nguồn giả mạo với các tiền tố hợp lệ. Địa chỉ riêng tư có thể được
khó khăn để phân biệt từ các địa chỉ được sử dụng trong các cuộc tấn
công mà không có các biện pháp bổ sung như giới hạn tốc độ hoặc hoàn
tất con đường ngược lại kiểm tra.
Đối với những lý do này, các địa chỉ riêng tư không nên được bật theo
mặc định, và cần được xem xét cẩn thận từng trường hợp cụ thể để cho dù đó là
giá trị sử dụng.Trong nhiều trường hợp nơi doanh nghiệp đang hoạt động mạng
riêng của mình, DHCPv6 địa chỉ có thể được ưa thích hơn.
4.2. Tạo khóa xác thực trong IPV6 (Cryptographically generated Address)
Trong IPv6, có thể tạo một khóa dùng làm chữ ký điện tử (public
signature key) cho mỗi một địa chỉ IP. Địa chỉ này được gọi là địa chỉ được tạo
mã hóa CGA (Cryptographically Generated Address) [7]. Tính năng này gia
tăng mức độ bảo vệ được dùng trong cơ chế phát hiện bộ định tuyến lân cận
(neighbourhood router discovery mechanism) cho pháp người dùng cuối cung
cấp bằng chứng sở hữu (proof of ownership) địa chỉ IP của mình. Tính năng này
hoản toàn mới ở phiên bản IPv6 và nó đem lại các lợi điểm sau:
- CGA khiến cho việc giả mạo (spoof) và đánh cắp địa chỉ trong IPv6 khó khăn
hơn
- Cho phép các thông điệp được đảm bảo tính nguyên vẹn bằng chữ ký điện tử
- Không yêu cầu phải nâng cấp hay thay đổi hệ thống mạng
3
Tạo khóa xác thực từ cặp khóa Public-Private
Quá trình gồm 4 bước như sau:

Phía người gửi:
- Tạo ra một cặp khóa và địa chỉ tương ứng.
- Chèn khóa công khai trong một gói tin và ký tên với khóa riêng
Phía người nhận:
- Kiểm tra địa chỉ nguồn tương ứng với khóa công khai
- Xác minh chữ ký với khóa công khai
4.3. Nghiên cứu Bảo mật IPSec cho địa chỉ IPv6
4.3.1. Tổng quan về giao thức bảo mật IPSec
IPSec thực hiện mã hóa và xác thực ở lớp mạng. Nó cung cấp một giải
pháp an toàn dữ liệu từ đầu cuối-đến-đầu cuối trong bản thân cấu trúc mạng(ví
dụ khi thực hiện mạng riêng ảo VPN). Vì vậy vấn đề an toàn được thực hiện mà
không cần thay đổi các ứng dụng cũng như các hệ thống cuối. Các gói mã hóa
có khuôn dạng giống như gói tin IP thông thường, nên chúng dễ dàng được định
tuyến qua mạng Internet mà không phải thay đổi các thiết bị mạng trung gian,
qua đó cho phép giảm đáng kể các chi phí cho việc triển khai và quản trị. IPSec
cung cấp bốn chức năng quan trọng sau:
• Bảo mật(mã hóa)- Confidentiality: Người gửi có thể mã hóa dữ liệu trước
khi truyền chúng qua mạng. Bằng cách đó, không ai có thể nghe trộm trên
đường truyền. Nếu giao tiếp bị ngăn chặn, dữ liệu không thể đọc được.
4
• Toàn vẹn dữ liệu- Data integrity: Người nhận có thể xác minh các dữ liệu
được truyền qua mạng Internet mà không bị thay đổi. IPSec đảm bảo toàn
vẹn dữ liệu bằng cách sử dụng checksums (cũng được biết đến như là một
giá trị băm).
• Xác thực- Authentication: Xác thực đảm bảo kết nối được thực hiện và
các đúng đối tượng. Người nhận có thể xác thực nguồn gốc của gói tin,
bảo đảm, xác thực nguồn gốc của thông tin.
• Antireplay protection: xác nhận mỗi gói tin là duy nhất và không trùng
lặp.
IPSec là một nền(Frame work) kết hợp giao thức bảo mật và cung cấp

mạng riêng ảo với các dữ liệu bảo mật, toàn vẹn và xác thực. Làm việc với sự
tập hợp của các chuẩn mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảm
bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia vào
mạng VPN. Các thiết bị này có thể là các host hoặc là các security gateway
(routers, firewalls, VPN concentrator, ) hoặc là giữa 1 host và gateway như
trong trường hợp remote access VPNs.
Các giao thức chính sử dụng trong IPSec:
• IP Security Protocol (IPSec)
o Authentication Header (AH): cung cấp tính toàn vẹn phi kết nối và
chứng thực nguồn gốc dữ liệu cho các gói dữ liệu IP và bảo vệ
chống lại các cuộc tấn công replay.
o Encapsulation Security Protocol (ESP): cung cấp tính năng bảo
mật, chứng thực nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và
dịch vụ chống replay.
• Message Encryption
o Data Encryption Standard (DES): Được phát triển bởi IBM. DES
sử dụng 1 khóa 56-bít, đảm bảo hiệu năng mã hóa cao. DES là một
hệ thống mã hóa khóa đối xứng.
o Triple DES (3DES): là một biến thể của DES 56-bít. Hoạt động
tương tự như DES, trong đó dữ liệu được chia thành các khối 64
bít. 3DES thực thi mỗi khối ba lần, mỗi lần với một khóa 56 bít độc
lập. 3DES cung cấp sức mạnh khóa đáng kể so với DES.
• Message Integrity (Hash) Functions
5
o Hash-based Message Authentication Code (HMAC) : là một thuật
toán toàn vẹn dữ liệu đảm bảo tính toàn vẹn của bản tin. Tại đầu
cuối, bản tin và một khóa chia sẻ bí mật được gửi thông qua một
thuật toán băm, trong đó tạo ra một giá trị băm. Bản tin và giá
trị băm được gửi qua mạng. Hai dạng phổ biến của thuật toán
HMAC như sau:

 Message Digest 5 (MD5): là một hàm băm để mã hóa với giá
trị băm là 128 bít. MD5 biến đổi một thông điệp có chiều dài
bất kỳ thành một khối có kích thước cố định 128 bít. Thông
điệp đưa vào sẽ được cắt thành các khối 512 bít, thông điệp
sau đó được độn sao cho chiều dài của nó chia chẵn cho 512.
 Secure Hash Algorithm-1,2 (SHA-1,2): Sử dụng một khóa
160 bít, 224 bít….
• Peer Authentication
o Rivest, Shamir, and Adelman (RSA) Digital Signutures: là một hệ
thống mật mã khóa bất đối xứng. Nó sử dụng một chiều dài khóa là
512 bít, 768 bít, 1024 bít hoặc lớn hơn. IPsec không sử dụng RSA
để mã hóa dữ liệu. Chỉ sử dụng RSA để mã hóa trong giai đoạn xác
thực ngang hàng.
o RSA Encrypted Nonces
• Key Management
o Diffie-Hellman (D-H)
o Certificate Authority (CA)
• Security Association
o Internet Exchange Key (IKE): IPSec dùng một giao thức thứ ba,
Internet Key Exchange (IKE), để thỏa thuận các giao thức bảo mật
và các thuật toán mã hóa trước và trong suốt phiên giao dịch.
o Internet Security Association and Key Management Protocol
(ISAKMP)
Chế độ vận hành
• IPsec có thể được hoạt động theo chế độ chuyển giao(transport mode) từ
máy chủ này đến máy chủ khác cũng như chế độ đường hầm (tunnel
mode) trong mạng.
6
o Chế độ chuyển giao: chỉ có trọng tải (dữ liệu được truyền) của gói
tin IP mới được mã hóa và/hoặc chứng thực. Trong quá trình

Routing cả IP header đều không bị chỉnh sửa hay mã hóa. Transport
mode sử dụng trong tình huống giao tiếp host to host.
o Chế độ Tunnel: Trong chế độ tunnel, toàn bộ gói tin IP sẽ được mã
hóa và/hoặc chứng thực. Sau đó nó được đóng gói vào một gói tin
IP mới với tiêu đề IP mới. Chế độ tunnel được sử dụng để tạo
Virtual Private Network (mạng riêng ảo) phục vụ cho việc liên lạc
giữa các mạng, liên lạc giữa máy chủ và mạng (ví dụ như truy cập
người sử dụng từ xa), và giữa các máy chủ.
IPSec chế độ Tunnel mode
4.3.2. Giao thức bảo mật IPSec trong mạng IPv6
IP Security (IPSec) là tiêu chuẩn của IETF (Internet Engineering Task
Force) nhằm cung cấp bảo mật cho mạng Internet. IPSec đảm bảo tính toàn vẹn,
xác thực và bảo mật. IPSec được tích hợp sẵn trong IPv4 và IPv6 và được định
nghĩa trong cùng các RFC. Chức năng này chủ yếu có cả trong môi trường IPv4
và IPv6 nhưng tính năng IPSec là bắt buộc trong IPv6. Điều này có nghĩa mọi
điểm kết nối IPv6 đều phải kích hoạt IPsec và phải luôn sử dụng tính năng này,
do đó mạng Internet IPv6 được bảo mật tốt hơn mạng Internet IPv4 cũ.
Mào đầu gói tin IPv6: Header của IPv6 đơn giản và hợp lý hơn IPv4.
IPv6 chỉ có 6 trường và 2 địa chỉ, trong khi IPv4 chứa 10 trường và 2 địa chỉ,
IPv6 header có kích thước cố định. Trong khi IPv4 header có kích thước thay
đổi. Với kích thước cố định thì một router có thể xử lý gói tin một cách hiệu
7
quả.
Chiều dài phần mào đầu: Mào đầu IPv4 có một trường chiều dài không
cố định đó là Tùy chọn(Option). Trường này được sử dụng để thêm các thông
tin về các dịch vụ tùy chọn khác nhau trong IPv4(Ví dụ như thông tin liên quan
đến mã hóa). Do đó, chiều dài của mào đầu IPv4 thay đổi tùy theo tình trạng. Vì
sự thay đổi đó, các bộ định tuyến điều khiển giao tiếp dựa trên những thông tin
trong phần mào đầu không thể biết trước chiều dài của mào đầu. Điều này cản
trở việc tăng tốc xử lý gói tin. Gói tin IPv6 có hai dạng mào đầu: mào đầu cơ

bản và mào đầu mở rộng. Phần mào đầu cơ bản có chiều dài cố định 40 byte,
chứa những thông tin cơ bản trong xử lý gói tin IPv6. Những thông tin liên quan
đến dịch vụ mở rộng kèm theo được chuyển hẳn tới một phân đoạn khác gọi là
mào đầu mở rộng. Cấu trúc gói tin IPv6:
Cấu trúc gói tin IPv6
Định dạng các trường mào đầu: Cấu trúc mào đầu của IPv6 header gồm
• Phiên bản (Version): Gồm 4 bít được sử dụng để xác định phiên bản của
giao thức IP đang được sử dụng và nó có giá trị là 6 với IPv6.
• Phân dạng lưu lượng (Traffic Class): Gồm 8 bít thực hiện chức năng
tương tự trường Dạng dịch vụ (Type of Service) của IPv4. Trường này
được sử dụng để biểu diễn mức độ ưu tiên của gói tin, mỗi điểm kết nối
IPv6 có thể đánh dấu gói tin với từng loại dữ liệu, ví dụ gói tin nên được
truyền với tốc độ nhanh hay thông thường.
• Nhãn dòng(Flow Label): Có chiều dài 20 bít, là trường mới được thiết
lập trong IPv6. Trường này được sử dụng để chỉ định gói tin thuộc một
dòng(Flow) nhất định giữa nguồn và đích, yêu cầu bộ định tuyến IPv6
phải có cách xử lý đặc biệt. Bằng cách sử dụng trường này, nơi gửi gói tin
có thể xác định một chuỗi các gói tin, ví dụ gói tin của dịch vụ thoại VoIP
thành một dòng và yêu cầu chất lượng cụ thể cho dòng đó. Khi một router
xác định dòng lưu lượng lần đầu, nó sẽ nhớ dòng lưu lượng đó, cũng như
8
các xử lý đặc biệt ứng với lưu lượng này, và khi các lưu lượng khác thuộc
dòng này đến, nó sẽ xử lý nhanh hơn là xử lý từng packet.
• Chiều dài tải dữ liệu(Payload Length): Gồm 16 bít, tương tự như
trường total length của IPv4, xác định tổng kích thước của gói tin IPv6
bao gồm cả phần mào đầu mở rộng (không chứa header).
• Next header: Gồm 8 bít, thay thế trường Thủ tục(Protocol). Trường này
chỉ định đến mào đầu mở rộng đầu tiên của gói tin IPv6, đặt sau mào đầu
cơ bản hoặc chỉ định tới thủ tục lớp trên như TCP, UDP, ICMPv6 khi
trong gói tin IPv6 không có mào đầu mở rộng.

• Hop limit: Gồm 8 bít, được sử dụng để giới hạn số hop mà packet đi qua,
được sử dụng để tránh cho packet được định tuyến vòng vòng trong
mạng. Trường này giống như trường TTL (Time-To-Live) của IPv4.
• Source Address: Gồm 128 bít, xác định địa chỉ nguồn của gói tin.
• Destination Address: Gồm 128 bít, xác định địa chỉ đích của gói tin
Định dạng gói tin IPv6
Các trường mào đầu mở rộng:
Mào đầu mở rộng (extension header) là đặc tính mới của thế hệ địa chỉ
IPv6.
Những thông tin liên quan đến dịch vụ kèm theo được chuyển hẳn tới một
phân đoạn khác gọi là header mở rộng, mỗi header mở rộng được nhận dạng bởi
trường Next Header. Các header mở rộng được đặt giữa IPv6 header và header
của các giao thức lớp trên, được sử dụng để mang các thông tin tuỳ chọn ở lớp
mạng (Network layer) trong gói tin. Một gói tin IPv6 có thể chứa một hay nhiều
header mở rộng , được đặt sau mào đầu cơ bản. Các mào đầu mở rộng được đặt
nối tiếp nhau theo thứ tự quy định, mỗi dạng có cấu trúc trường riêng. Thông
9
thường, các mào đầu mở rộng được xử lý tại đích. Tuy nhiên cũng có dạng mào
đầu mở rộng được xử lý tại mọi bộ định tuyến mà gói tin đó đi qua, đó là dạng
mào đầu mở rộng Từng bước (Hop by Hop). Mỗi header mở rộng sẽ có giá trị
đại diện cho nó. Ví dụ: TCP (6); UDP (7); Routing header (43); Fragment
header (44); ESP (50); AH (51); ICMP (58) [1].
Các giá trị của trường Next Header
Mào đầu cơ bản và mọi mào đầu mở rộng IPv6 đều có trường mào đầu
tiếp theo (Next Header) chiều dài 8 bít. Trong mào đầu cơ bản, trường Next
Header sẽ xác định gói tin có tồn tại mào đầu mở rộng hay không. Nếu không có
mào đầu mở rộng giá trị của trường sẽ xác định phần mào đầu của tầng cao hơn
(TCP hay UDP…) phía trên của tầng IP. Nếu có, giá trị trường Next Header chỉ
ra loại mào đầu mở rộng đầu tiên theo sau mào đầu cơ bản. Tiếp theo, trường
Next Header của mào đầu mở rộng thứ nhất sẽ trỏ tới mào đầu mở rộng thứ hai,

đứng kế tiếp nó. Trường Next Header của mào đầu mở rộng cuối cùng sẽ có giá
trị xác định mào đầu tầng cao hơn.
10
Mào đầu mở rộng của địa chỉ IPv6
Khi gói đi từ nguồn đến đích, các trạm trung gian không được phép xử lý
các Extension Header đến khi đến trạm đích. Và việc xử lý các Header này cũng
phải diễn ra theo đúng tuần tự mà các Header sắp xếp trong gói tin IPv6. Không
bao giờ được phép xảy ra trường hợp trạm đích quét qua toàn bộ gói tin và chọn
ra một Header nào đó để xử lý trước. Trường hợp ngoại lệ là trường hợp Hop-
by-hop Extension Header, sự hiện diện của Hop-by-hop Extension Header buộc
gói tin phải bị kiểm tra bởi tất cả các trạm trung gian trên đường từ nguồn đến
đích, bao gồm cả trạm nguồn và đích. Vì vậy, Hop-by-hop Extension Header
luôn phải đứng sau IPv6 Header. Sự hiện diện của Extension Header này được
chỉ thị bởi giá trị 0 trong Next-Header của IPv6 Header. Kích thước của các
Extension Header có thể tùy ý, nhưng luôn là bội số của 8 octet. Nếu trong gói
tin có chứa nhiều Extension Header, chúng được sắp xếp theo thứ tự sau:
• IPv6 Header.
• Hop-by-Hop Options Header.
• Destination Options Header : Được xử lý bởi trạm đích đầu tiên trong
IPv6 Header và những trạm còn lại được chỉ ra trong Routing Header.
• Routing Header.
• Fragment Header.
• Authentication Header.
• Encapsulating Security Payload Header.
• Mobility header
• Destination Options Header: Chỉ được xử lý bởi đích đến cuối cùng trong
gói tin
• Upper-layer Header.
11
Định dạng của Extension Header

Tích hợp bảo mật IPsec trong địa chỉ IPv6:
Cấu trúc địa chỉ IPv6 sử dụng IPSec để đảm bảo tính toàn vẹn, bảo mật và
xác thực nguồn gốc dữ liệu sử dụng hai mào đầu mở rộng tùy chọn: mào đầu
Xác thực- (AH -Authentication Header) và mào đầu Mã hóa (ESP - Encrypted
Security Payload) . Hai Header này có thể được sử dụng chung hay riêng để hỗ
trợ nhiều chức năng bảo mật.
Các chế độ làm việc chính của giao thức IPSec, bao gồm:
Transport mode: chế độ hoạt động này bảo vệ giao thức tầng trên và các
ứng dụng. Trong đó, phần IPSec header được chèn vào giữa phần IP header và
phần header của giao thức tầng trên.Vì vậy, chỉ có tải (IP payload) là được mã
hóa và IP header ban đầu là được giữ nguyên vẹn. Transport mode có thể được
dùng khi cả hai host hỗ trợ IPSec. Hoạt động của ESP trong chế độ này được sử
dụng để bảo vệ thông tin giữa hai host cố định và bảo vệ các giao thức lớp trên
của IP datagram. Trong Transport Mode, AH header được chèn vào trong IP
datagram sau IP header và các tuỳ chọn. Ở trong chế độ này, AH được xem như
phần tải đầu cuối tới đầu cuối (end-to-end payload), nên sẽ xuất hiện sau các
phần header mở rộng hop-to-hop, routing, và fragmentation. Còn phần mào đầu
đích (Destination Options Header) có thể được đặt trước hoặc sau AH.
12
IPSec trong chế độ Transport
Tunnel mode: chế độ này bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói dữ liệu
IP được đóng gói trong một gói dữ liệu IP khác. Và một IPSec header được chèn
vào giữa phần đầu nguyên bản (Original Header)và phần đầu mới của IP. Trong
chế độ Tunnel IP header ở đầu vào mang địa chỉ nguồn và địa chỉ đích cuối
cùng, còn IP header ở đầu ra mang địa chỉ để định tuyến qua Internet. Trong chế
độ này, AH bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả IP header đầu vào.
IPSec trong chế độ Tunnel
4.3.3. Nguyên tắc hoạt động của các giao thức bảo mật trong địa chỉ IPv6
Nguyên tắc hoạt động của AH:
AH được mô tả trong RFC 4302, là một IPSec header cung cấp xác thực

gói tin và kiểm tra tính toàn vẹn. AH cho phép xác thực và kiểm tra tính toàn
vẹn dữ liệu của các gói tin IP truyền giữa 2 hệ thống. Nó là phương tiện để kiểm
tra xem dữ liệu có bị thay đổi trong khi truyền hay không. Tuy nhiên các dữ liệu
đều truyền dưới dạng bản Plaintext vì AH không cung cấp khả năng mã hóa dữ
liệu.
13
Định dạng mào đầu IPsec AH
Định dạng của AH
• Next Header: Trường này có độ dài 8 bits để xác định mào đầu tiếp theo
sau AH. Giá trị của trường này được lựa chọn từ các tập các giá trị IP
Protocol Numbers định nghĩa bởi IANA- Internet Assigned Numbers
Authority (xem chi tiết Hình 4)
• Payload Length: Trường này có độ dài 8 bits để xác định độ dài của AH
không có tải.
• Reserved: Trường này có độ dài 16 bits dành để dự trữ cho việc sử dụng
trong tương lai. Giá trị của trường này được thiết lập bằng 0 bởi bên gửi
và sẽ được loại bỏ bởi bên nhận.
• SPI (Security Parameters index): Đây là một số 32 bits bất kì, cùng với
địa chỉ đích và giao thức an ninh ESP cho phép nhận dạng duy nhất chính
sách liên kết bảo mật SA (xác định giao thức IPSec và các thuật toán nào
được dùng để áp dụng cho gói tin) cho gói dữ liệu này. Các giá trị SPI 1-
255 được dành riêng để sử dụng trong tương lai. SPI thường được lựa
chọn bởi phía thu khi thiết lập SA.
• Sequence Number : Trường này có độ dài 32 bits, chứa một giá trị đếm
tăng dần (SN), đây là trường không bắt buộc cho dù phía thu không thực
hiện dịch vụ chống trùng lặp cho một SA cụ thể nào đó. Việc thực hiện
SN tùy thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này, còn
phía thu có thể không cần phải xử lí nó. Bộ đếm của phía phát và phía thu
đều được khởi tạo 0 khi một SA được thiết lập (Gói đầu tiên truyền đi với
SA đó sẽ có SN=1)

14
• Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm tra
tính toàn vẹn ICV (Integrity Check Value) cho gói tin, có độ dài là số
nguyên lần 32 bits. Trường này có thể chứa thêm một phần dữ liệu đệm
để đảm bảo độ dài của AH header là số nguyên lần 32 bít (đối với IPV4)
hoặc 64 bít (đối với IPV6).
Chế độ xác thực:
• Xác thực từ đầu cuối đến đầu cuối (End-to-End Authentication): là trường
hợp xác thực trực tiếp giữa hai hệ thống đầu cuối (giữa máy chủ với trạm
làm việc hoặc giữa hai trạm làm việc), việc xác thực này có thể diễn ra
trên cùng mạng nội bộ hoặc giữa hai mạng khác nhau, chỉ cần hai đầu
cuối biết được khoá bí mật của nhau. Trường hợp này sử dụng chế độ vận
chuyển (Transport Mode) của AH.
• Xác thực từ đầu cuối đến trung gian (End-to-Intermediate
Authentication): là trường hợp xác thực giữa hệ thống đầu cuối với một
thiết bị trung gian (router hoặc firewall). Trường hợp này sử dụng chế độ
đường hầm (Tunnel Mode) của AH.
Hai chế độ xác thực của AH
Gói tin IPv6 AH ở chế độ Transport:
15
Mào đầu được xác thực trong chế độ IPv6 AH Transport( Phần màu nâu đậm là
phần dữ liệu được xác thực)
Gói tin IPv6 AH ở chế độ Tunnel:
Mào đầu được xác thực trong chế độ IPv6 AH Tunnel( Phần màu nâu đậm là
phần dữ liệu được xác thực).
• Nguyên tắc hoạt động của AH bao gồm 4 bước:
B1: AH sẽ đem gói dữ liệu (packet ) bao gồm : Payload + IP Header + Key
cho chạy qua giải thuật Hash 1 chiều và cho ra 1 chuỗi số. và chuỗi số này
sẽ được gán vào AH Header.
B2: AH Header này sẽ được chèn vào giữa Payload và IP Header và

chuyển sang phía bên kia.
B3: Router đích sau khi nhận được gói tin này bao gồm : IP Header + AH
Header + Payload sẽ được cho qua giải thuật Hash một lần nữa để cho ra
một chuỗi số.
16
B4: so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì
nó chấp nhận gói tin .
Mô tả AH xác thực và đảm bảo tính toàn vẹn dữ liệu
Nguyên tắc hoạt động của ESP:
ESP Header được mô tả trong RFC 4303, cung cấp mã hóa bảo mật và
toàn vẹn dữ liệu trên mỗi điểm kết nối IPv6. ESP là một giao thức an toàn cho
phép mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn của dữ
liệu. Khác với AH, ESP cung cấp khả năng bí mật của thông tin thông qua việc
mã hóa gói tin ở lớp IP, tất cả các lưu lượng ESP đều được mã hóa giữa 2 hệ
thống, do đó xu hướng sử dụng ESP nhiều hơn AH trong tương lai để làm tăng
tính an toàn cho dữ liệu. Sau khi đóng gói xong bằng ESP, mọi thông tin và mã
hoá và giải mã sẽ nằm trong ESP Header. Các thuật toán mã hoá sử dụng trong
giao thức như : DES, 3DES, AES. Định dạng của ESP Header như sau:
17

Định dạng mào đầu IPsec ESP
• Định dạng ESP: ESP thêm một header và Trailer vào xung quanh nội
dung của mỗi gói tin.
o SPI (Security Parameters Index): Trường này tương tự như bên AH
o SN (Sequence Number): Trường này tương tự như bên AH
o Payload Data: Trường này có độ dài biến đổi chứa dữ liệu mô tả
bên trong Next Header. Đây là trường bắt buộc và có độ dài là số
nguyên lần bytes
o Padding: Trường này được thêm vào bởi nếu thuật toán mật mã
được sử dụng yêu cầu bản rõ (plaintext) thì padding được sử dụng

để điền vào plaintext (bao gồm các trường Payload Data, Pad
Length, Next Header và Padding) để có kích thước theo yêu cầu.
o IVC: Giá trị kiểm tra tính toàn vẹn, là trường có độ dài thay đổi
được tính trên các trường ESP trailer, Payload, ESP header. Thực
18
chất các trường ESP trailer đã bao gồm kiểm tra tính toàn vẹn
(IVC).
• Gói tin IPv6 ESP ở chế độ Transport:
Mào đầu được mã hóa trong chế độ IPv6 ESP Transport( Phần màu nâu đậm là
phần dữ liệu được mã hóa).
• Gói tin IPv6 ESP ở chế độ Tunnel:
Mào đầu được mã hóa trong chế độ IPv6 ESP Tunnel( Phần màu nâu sậm là
phần dữ liệu được mã hóa).
19
• Nguyên tắc hoạt động:
Về nguyên tắc hoạt động thì ESP sử dụng mật mã đối xứng để cung cấp
sự mật hoá dữ liệu cho các gói tin IPSec. Cho nên, để kết nối của cả hai đầu cuối
đều được bảo vệ bởi mã hoá ESP thì hai bên phải sử dụng key giống nhau mới
mã hoá và giải mã được gói tin . Khi một đầu cuối mã hoá dữ liệu, nó sẽ chia
dữ liệu thành các khối (block) nhỏ, và sau đó thực hiện thao tác mã hoá nhiều
lần sử dụng các block dữ liệu và khóa (key). Khi một đầu cuối khác nhận được
dữ liệu mã hoá, nó thực hiện giải mã sử dụng key giống nhau và quá trình thực
hiện tương tự, nhưng trong bước này ngược với thao tác mã hoá.
Nguyên tắc hoạt động của ESP Header.
• So sánh giữa AH và ESP
Tính bảo mật AH ESP
Giao thức IP lớp 3 51 50
Toàn vẹn dữ liệu Có Có
Xác thực dữ liệu Có Có
Mã hóa dữ liệu Không Có

Chống tấn công phát lại Có Có
Hoạt động với NAT Không Có
Hoạt động với PAT Không Không
Bảo vệ gói tin IP Có Không
Chỉ bảo vệ dữ liệu Không Có
20
Quản lý khóa
Để áp dụng hai mào đầu AH và ESP yêu cầu các bên tham gia phải thỏa
thuận một khóa chung để sử dụng trong việc kiểm tra an toàn thông tin.
• Quản lý khóa thủ công: IPv6 yêu cầu tất cả các thao tác đều có thể cho
phép thiết lập thủ công khóa bí mật. Công nghệ cấu hình bằng tay được
cho phép trong IPSec chuẩn và có thể được chấp nhận để cấu hình một
hay hai gateway nhưng việc gõ key bằng tay không thích hợp trong một
số trường hợp số lượng các gateway nhiều và cũng gây ra các vấn đề
không an toàn trong quá trình tạo khóa.
• Quản lý khóa tự động:
• Internet Key Exchange (IKE) cung cấp key một cách tự động, quản lý SA
hai chiều, tạo key và quản lý key. IKE thương thuyết trong hai giai đoạn.
o Giai đoạn 1: thương thuyết bảo mật, kênh chứng thực mà dựa trên
đó hệ thống có thể thương thuyết nhiều giao thức khác. Chúng đồng
ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực và
nhóm Diffie-Hellman để trao đổi key và thông tin.
o Giai đoạn 2: xác định dịch vụ được sử dụng bởi IPSec. Chúng đồng
ý giao thức IPSec, thuật toán hash, và thuật toán mã hoá. Một SA
được tạo ra cho inbound và outbound của mỗi giao thức được sử
dụng.
Kết luận: IPv6Sec là một trong những tính năng ưu việt nổi bật của IPv6.
Nó giúp phần làm tăng cường tính an toàn an ninh thông tin khi trao đổi, giao
dịch trên mạng Internet. IPv6sec cũng được lựa chọn là giao thức bảo mật sử
dụng trong mạng riêng ảo và thích hợp trong việc đảm bảo kết nối bảo mật từ

đầu cuối tới đầu cuối.
4.4. Nghiên cứu kỹ thuật bảo mật Stateless Address Autoconfiguration và
Neighbor Discovery
Bảo mật cho các giao thức tự động cấu hình và Neighbor Discovery (ND)
luôn luôn là một chủ đề khó khăn, bởi vì nó là tự nhiên mơ để có mối quan hệ
tin cậy có từ trước với các đơn vị chưa phát hiện hoặc sử dụng bảo mật trước khi
cấu hình địa chỉ.
Các cuộc tấn công chống lại cấu hình địa chỉ và giao thức phân giải địa
chỉ bao gồm địa chỉ giả mạo hoặc hijacking, từ chối dịch vụ, tuyên truyền thông
21
tin không chính xác, giả mạo các điều kiện unreachability, chuyển hướng lưu
lượng truy cập, vô hiệu hóa các thiết bị định tuyến, quảng cáo các tiền tố không
có thật, xuyên tạc các thông số mạng, và những người khác. Hầu hết các hướng
ảnh hưởng đến mạng lưới địa phương, nhưng một số cũng có thể nhắm mục tiêu
bảo mật hoặc tính toàn vẹn của thông tin.
Mạng IPv4 không có phương tiện tự động cấu hình địa chỉ và neighbor
discovery với Address Resolution Protocol (ARP).ARP không có cơ chế bảo
mật mật mã, và nó luôn luôn là đối tượng tấn công giả mạo, đầu độc bộ nhớ
cache, và tấn công từ chối dịch vụ. Hầu hết các cài đặt đối phó với điều này
bằng cách hạn chế ARP để liên kết local và chính sách các nút trên liên kết với
local. Điều này trở nên ngày một khó khăn với mạng LAN không dây. IPv6 ND
neighbor được thực hiện với ICMPv6, và nó là cả hai có thể và mong muốn để
đảm bảo rằng những thông điệp đó không được định tuyến, kể từ khi ND sử
dụng tất cả các nút địa chỉ "liên kết nhóm multicast địa phương, theo mặc định
các thông báo không được chuyển. Nó cũng có thể áp dụng bảo mật mật mã các
tin nhắn này.
IPv6 Autoconfiguration và ND sử dụng ICMPv6 tin nhắn để thực hiện
một số nhiệm vụ khác nhau. Các loại thông điệp chính của ICMPv6 là:
- NS (Neighbor Solicitation)
- NA (Neighbor Advertisement)

- RS (Router Solicitation)
- RA (Router Advertisement)
- Redirect
- Router renumbering
4.4.1. Sử dụng IPsec để bảo mật Autoconfiguration và ND
IPsec về nguyên tắc có thể được sử dụng để bảo đảm bất kỳ gói tin IP,
nhưng quyết định làm thế nào IPsec nên bao gồm tất cả các loại khác nhau và sử
dụng ICMPv6 thông điệp và thực sự xác định hành vi này không phải là nhiệm
vụ đơn giản. Một số thông điệp ICMPv6 được sử dụng với tính di động hoặc
multicast, những người khác, chẳng hạn như, điều kiện hoặc các thông báo báo
cáo lỗi sau đây chỉ đơn giản là cung cấp thông tin:
- Destination unreachable
- Packet too big (also used to determine PMTU)
22
- Time exceeded
- Parameter problem
- Echo request
- Echo reply.
4.4.2. Sử dụng SEND để đảm bảo an toàn cho Autoconfiguration and ND
SEND được thiết kế bởi các nhà khai thác mạng cần thiết để bảo đảm cấu
hình tự động IPv6 và ND nhưng thấy IPsec là một lựa chọn không thực tế.
Nhiều người trong số này là các nhà khai thác dịch vụ điện thoại di động kết hợp
IPv6 vào thiết bị di động thế hệ thứ ba.
Ý tưởng cốt lõi đằng sau SEND là:
- Sử dụng CGAs
- Thêm một lựa chọn chữ ký số RSA ICMPv6.
- Xác định anchors tin tưởng có khả năng chứng nhận cho khóa công cộng
của router.
- Thêm Nonce và tùy chọn Timestamp ICMPv6 để phát hiện replay
Các nút được cấu hình với các phím công cộng anchors tin tưởng, cho

phép họ xác minh chữ ký trên RAS. Bởi sử dụng CGAs, chữ ký, địa chỉ không
thể bị giả mạo hay bị tấn công .Ngoài ra, một cuộc tấn công từ chối dịch vụ
được ngăn chặn. Cuộc tấn công replay có thể được phát hiện bằng cách kiểm tra
timestamps về tin nhắn multicast và xác minh rằng nonces được trả lại trong trao
đổi hai chiều.
Trong các mạng quảng cáo đặc biệt, sử dụng CGAs và chữ ký đảm bảo tin
nhắn từ cùng một địa chỉ thực sự đến từ cùng một thực thể, và không ai khác đã
bị đánh cắp địa chỉ.

23