ĐẠI HỌC QUỐC GIA TP.HCM
ĐẠI HỌC KHOA HỌC TỰ NHIÊN
KHOA ĐIỆN TỬ VIỄN THÔNG
BÁO CÁO ĐỀ TÀI
BẢO MẬT TRONG IPv6
Giảng viên hướng dẫn : ThS.Nguyễn Việt Hà
ThS.Trần Thị Thảo Nguyên
Sinh viên thực hiện : Nguyễn Xuân Diệu 0920159
Huỳnh Trọng Hiếu 0920031
Nguyễn Quang Dương 0920164
Trần Dương Kha 0920182
Lê Quốc Lâm 0920055
Bảo mật trong IPv6 – Nhóm Telecom
-2-
Mục Lục
Phần 1: IPv6 3
Tổng quan 3
IPv6 Header 3
Đặc điểm của IPv6 5
ICMPv6 6
Phần 2: Bảo mật trong IPv6 & IPsec 8
Các dạng tấn công tồn tại trong IPv6 8
Tổng quan về IPsec trong IPv6 8
Tổng quan 8
Các mode trong IPsec 9
Các giao thức sử dụng trong IPsec 9
Quản lí khóa trong IPsec 10
Phần 3: Hoạt động của AH và ESP trong IPsec 10
Hoạt động của AH 12
Hoạt động của ESP 15
Kết luận………………………………………………………………………………18
Bảo mật trong IPv6 – Nhóm Telecom
-3-
Phần 1: IPv6
(Internet Protocol version 6)
I. Tổng quan:
Địa chỉ IPv6 được viết dưới dạng hexa decimal. Địa chỉ IPV6 có độ dài 128 bít
nhị phân. 128 bít nhị phân này được chia thành các nhóm 4 bít, chuyển đổi viết theo
dạng số hexa decimal và nhóm 4 số hexa thành một nhóm phân cách bởi dấu “:”. Kết
quả, địa chỉ ipv6 được biểu diễn thành một dãy số gồm 8 nhóm số hexa cách nhau
bằng dấu “:”, mỗi nhóm gồm 4 chữ số hexa.
VD: 2001:0f68:0000:0000:0000:0000:1986:69af
IPv6 có ba loại địa chỉ khác nhau: Unicast, Multicast và Anycast.
II. IPv6 Header
Cấu trúc của IPv6 header gồm:
Phiên bản (Version): Gồm 4 có giá trị là 6 với IPv6.
Phân dạng lưu lượng (Traffic Class): Gồm 8 bít, biểu diễn mức độ ưu
tiên của gói tin.
Nhãn dòng(Flow Label): Có chiều dài 20 bít, sử dụng để chỉ định gói
tin thuộc một dòng(Flow) nhất định giữa nguồn và đích, yêu cầu bộ định tuyến
IPv6 phải có cách xử lý đặc biệt.
Bảo mật trong IPv6 – Nhóm Telecom
-4-
Chiều dài tải dữ liệu (Payload Length): Gồm 16 bít, xác định tổng
kích thước của gói tin IPv6.
Next Header: Gồm 8 bít, trường này chỉ định đến headermở rộng đầu
tiên của gói tin IPv6
Hop limit: Gồm 8 bít, được sử dụng để giới hạn số hop mà packet đi
qua, được sử dụng để tránh cho packet được định tuyến vòng vòng trong mạng.
Trường này giống như trường TTL (Time-To-Live) của IPv4.
Source Address: Gồm 128 bít, xác định địa chỉ nguồn của gói tin.
Destination Address: Gồm 128 bít, xác định địa chỉ đích của gói tin
Header mở rộng (extension header) trong IPv6:
Header mở rộng (extension header) là đặc tính mới trong thế hệ địa chỉ IPV6.
Trong IPv4, thông tin liên quan đến những đặc tính mở rộng (ví dụ xác thực,
mã hoá)
đư
ợc để trong phần Options của IPv4 header. Địa chỉ IPv6 đưa những đặc
tính mở rộng và các dịch vụ thêm vào thành một phần riêng, gọi là header mở rộng.
Gói tin IPv6 có thể có một hay nhiều header mở rộng, được đặt sau header chính,
trước phần dữ liệu. Các header mở rộng được đặt nối tiếp nhau theo thứ tự quy định,
mỗi dạng có cấu trúc trường riêng.
Nhờ tách biệt các dịch vụ gia tăng khỏi các dịch vụ cơ bản và đặt chúng trong
header mở rộng, phân loại header mở rộng theo chức năng, địa chỉ IPv6 đ
ã gi
ảm tải
nhiều cho router, và thiết lập nên được một hệ thống cho phép bổ sung một cách linh
động các chức năng, kể cả các chức năng hiện nay chưa thấy rõ ràng.
Bảo mật trong IPv6 – Nhóm Telecom
-5-
Thông thường các header mở rộng được xử lý tại đích. Header mở rộng Hop-
by-Hop được xử lý tại mọi router mà gói tin đi qua.
Thứ tự xử lý các header mở rộng:
III. Đặc điểm IPv6:
1. Không gian địa chỉ gần như vô hạn: IPv6 có chiều dài bít (128 bít) gấp 4 lần
IPv4 nên đ
ã m
ở rộng không gian địa chỉ từ khoảng hơn 4 tỷ (4.3 * 109) lên tới một con
số khổng lồ (2128 = 3.3*1038).
2. Khả năng tự động cấu hình (Plug and Play): IPv6 cho phép thiết bị IPv6 tự
động cấu hình các thông số phục vụ cho việc nối mạng như địa chỉ IP, địa chỉ gateway,
địa chỉ máy chủ tên miền khi kết nối vào mạng.
3. Khả năng bảo mật kết nối từ thiết bị gửi đến thiết bị nhận (đầu cuối – đầu
cuối): Địa chỉ IPv6 được thiết kế để tích hợp sẵn tính năng bảo mật trong giao thức
nên có thể dễ dàng thực hiện bảo mật từ thiết bị gửi đến thiết bị nhận (end-to-end).
4. Quản lý định tuyến tốt hơn: IPv6 được thiết kế có cấu trúc đánh địa chỉ và
phân cấp định tuyến thống nhất, dựa trên một số mức cơ bản đối với các nhà cung cấp
dịch vụ. Cấu trúc phân cấp này giúp tránh khỏi nguy cơ quá tải bảng thông tin định
tuyến toàn cầu khi chiều dài địa chỉ IPv6 lên tới 128 bít.
5. Dễ dàng thực hiện Multicast.
Bảo mật trong IPv6 – Nhóm Telecom
-6-
6. Hỗ trợ cho quản lý chất lượng mạng: Những cải tiến trong thiết kế của IPv6
như: không phân mảnh, định tuyến phân cấp, gói tin IPv6 được thiết kế với mục đích
xử lý thật hiệu quả tại thiết bị định tuyến tạo ra khả năng hỗ trợ tốt hơn cho chất lượng
dịch vụ QoS.
IV. Internet Control Message Protocol (ICMPv6):
ICMPv6 được sử dụng bởi các nút IPv6 để báo cáo các lỗi gặp phải trong việc xử lí
các gói tin, và để thực hiện các chức năng của lớp internet, chẳng hạn như chẩn đoán
(ICMPv6 "ping") . ICMPv6 là một phần của IPv6, và giao thức nền tảng nảy phải
được thực hiện đầy đủ ở mỗi node IPv6.
Message General Format
Trường Type: Giá trị bít đầu tiên của trường type sẽ xác định đây là thông điệp lỗi
(bít đầu có giá trị 0, toàn bộ giá trị trường type từ 0-127), hay thông điệp thông tin (bít
đầu có giá trị 1, toàn bộ giá trị trường type từ 128-255)
Code: 8 bít trường code sẽ phân dạng sâu hơn gói tin ICMPv6, định rõ
đây là gói
tin dạng gì trong từng loại thông điệp trên.
Checksum: 16 bit, tổng kiểm tra lỗi bản tin ICMPv6.
Nhiệm vụ của ICMPv6:
Tìm Path MTU (Path MTU Discovery): xác định kích thước MTU (Maximum
transmission unit) thích hợp cho truyền thông.
Thông báo lỗi (Error Notification)
Thông báo thông tin
Echo Request and Echo Reply hỗ trợ tiện ích Ping6.
Tìm kiếm router và prefix địa chỉ: Router Advertisements ( RA) và Router
Solicitations ( RS) giúp cho các node xác định thông tin về mạng LAN của chúng ,
Bảo mật trong IPv6 – Nhóm Telecom
-7-
chẳng hạn như tiền tố mạng , gateway mặc định, và các thông tin khác có thể giúp
chúng giao tiếp.
Tự động cấu hình
đ
ịa chỉ (Address auto configuration)
Kiểm tra trùng lặp địa chỉ (Duplicate Address Detection)
Phân giải địa chỉ (Address Resolution): Các giao thức Neighbor Discovery
Protocol (NDP), Neighbor Advertisements (NA), and Neighbor Solicitations (NS)
cung cấp cho IPv6 chức năng tương đương như giao thức Address Resolution Protocol
(ARP) trong IPv4.
Kiểm tra tính kết nối được của node lân cận (Neighbor Reachability Detection),
Node Information Query (NIQ) chia sẻ thông tin node giữa các node với nhau.
Redirect
Secure Neighbor Discovery (SEND) hỗ trợ giao tiếp bảo mật giữa các node lân
cận.
Bảo mật trong IPv6 – Nhóm Telecom
-8-
Phần 2: Bảo mật trong IPv6 & Ipsec
I. CÁC DẠNG TẤN CÔNG TỒN TẠI TRONG IPV6
Giao thức mới IPv6 (Internet Protocol version 6) có những cải tiến đáng kể, giải
quyết nhiều vấn đề tồn tại về mặt bảo mật trong giao thức IPv4 c
ũ. Vi
ệc tích hợp giao
thức IPsec (IP security) là bắt buộc trong IPv6, điều này khiến cho giao thức IPv6 trở
nên an toàn hơn giao thức IPv4 c
ũ.
Tuy nhiên, bên cạnh tính mềm dẻo, giao thức IPv6 c
ũng đ
ặt ra một số vấn đề bảo
mật mới. Giao thức IPv6 không thể ngăn được các cuộc tấn công ở lớp trên lớp mạng
(network layer). Các cuộc tấn công có thể là:
- Tấn công ở lớp ứng dụng: các cuộc tấn công ở lớp 7 mô hình OSI nh
ư tràn b
ộ đệm
(buffer overflow), virus, mã
đ
ộc, tấn công ứng dụng web, …
- Tấn công brute-force hay dò mật khẩu trong các mô-đun xác thực
- Thiết bị giả (rogue device): các thiết bị đưa vào mạng nhưng không được phép. Các
thiết bị này có thể là một máy PC, một thiết bị chuyển mạch (switch), định tuyến
(router), server DNS, DHCP hay một thiết bị truy cập mạng không dây (Wireless
access point),…
- Tấn công từ chối dịch vụ: vẫn tiếp tục tồn tại trong IPv6
- Tấn công sử dụng quan hệ xã hội (Social Engineering): lừa lấy mật khẩu, ID, email
spamming, phishing, …
-Ngoài ra hình thức tần công man-in-the-middle (đây là h
ình th
ức chặn các gói tin,
chuyển đến máy chủ của kẻ tấn công, rồi mới chuyển tiếp, khiến các nạn nhân vẫn tin
tưởng đang truyền thông trực tiếp với nhau) vẫn không thể phòng chống trong IPv6.
II. TỔNG QUAN VỀ IPSEC TRONG IPV6
a. Tổng quan
Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Các
giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng
transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI).
Đi
ều này tạo ra tính mềm
dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các
giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương
thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng
Bảo mật trong IPv6 – Nhóm Telecom
-9-
IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và
các giao thức bảo mật trên các tầng trên trong mô hình OSI thì
đo
ạn mã ứng dụng đó
sẽ bị thay đổi lớn
IPsec đ
ã đư
ợc giới thiệu và cung cấp các dịch vụ bảo mật:
- Tính bảo mật dữ liệu – Data confidentiality
- Tính toàn vẹn dữ liệu – Data Integrity
- Tính chứng thực nguồn dữ liệu – Data origin authentication
- Tính tránh trùng lặp gói tin – Anti-replay
b. Các Mode trong IPSec
Hai chế độ chính được sử dụng trong ipsec đó là: transport và tunnel. AH và ESP đều
cung cấp sự bảo mật bằng cách thêm vào trường header để bảo mật thông tin vào trong
datagram.
Transport mode:
Cách bảo vệ thông tin được thể hiện khi mà gói tin ip được chuyển xuống từ tầng vận
chuyển TCP. Thì gói tín được sử lý bởi AH hoặc ESP thêm trường header vào trước
trường TCP/UDP header. Lúc này gói tin được chuyển tiếp hay sử lý thông qua IPsec
Header, không còn sử lý trên ip header nữa
Tunnel mode
Trong chế độ đường hầm, ipsec được sử dụng để bảo vệ quá trình
đóng gói ip
datagram, sau khi ip header đ
ã s
ẵn sàng. Ipsec header được thêm vào trước ip header,
rồi sau đó một ip header mới, được thêm vào trước ipsec header. Lúc đó ip datagram
đ
ã
đư
ợc bảo vệ.
c. Các giao thức sử dụng trong IPsec
Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên
bản IPv4 và IPv6:
IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực.
IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể
lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu.
Bảo mật trong IPv6 – Nhóm Telecom
-10-
Thuật toán mã hoá
đư
ợc sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn
vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBC cho mã
mã hoá và
đ
ảm bảo độ an toàn của gói tin. Toàn bộ thuật toán này được thể hiện trong
RFC 4305.
Authentication Header (AH)
AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là lựa
chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công
sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu khi
sử dụng IP.
Encapsulating Security Payload (ESP)
Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin. ESP
c
ũng h
ỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần
cho authentication, nhưng sử dụng mã hoá mà không yêu cầu xác thực không đảm bảo
tính bảo mật. Không như AH, header của gói tin IP, bao gồm các option khác. ESP
thực hiện trên top IP sử dụng giao thức IP và mang số hiệu 50 và AH mang số hiệu 51.
d. Quản lí khóa trong IPsec - Key Exchange(IKE):
Để áp dụng hai Header AH và ESP, yêu cầu các bên tham gia phải thỏa thuận một
khóa chung để sử dụng trong việc kiểm tra an toàn thông tin.
Các phương pháp quản lí khóa:
Quản lý khóa thủ công: Công nghệ cấu hình bằng tay được cho phép trong IPSec
chuẩn nhưng chỉ có thể được chấp nhận để cấu hình một hay hai gateway.
Quản lý khóa tự động: Internet Key Exchange (IKE) cung cấp key một cách tự
động, quản lý SA (Security Association) hai chiều, tạo key và quản lý key.
Các giai đoạn thương thuyết IKE:
Giai đoạn 1: Thương thuyết bảo mật, kênh chứng thực mà dựa trên đó hệ thống có
thể thương thuyết nhiều giao thức khác. Chúng đồng ý thuật toán mã hoá, thuật toán
hash, phương pháp chứng thực và nhóm Diffie-Hellman để trao đổi key và thông tin.
Bảo mật trong IPv6 – Nhóm Telecom
-11-
Giai đoạn 2: Xác định dịch vụ được sử dụng bởi IPSec. Chúng đồng ý giao thức
IPSec, thuật toán hash, và thuật toán mã hoá. Một SA được tạo ra cho inbound và
outbound của mỗi giao thức được sử dụng.
Bảo mật trong IPv6 – Nhóm Telecom
-12-
Phần 3: Hoạt động của AH và ESP trong IPv6
I. Nguyên tắc hoạt động của AH
AH được mô tả trong RFC 4302, là một IPSec header cung cấp xác thực gói tin và
kiểm tra tính toàn vẹn. AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các
gói tin IP truyền giữa 2 hệ thống. Nó là phương tiện để kiểm tra xem dữ liệu có bị thay
đổi trong khi truyền hay không. Tuy nhiên các dữ liệu đều truyền dưới dạng bản Plaintext
vì AH không cung cấp khả năng m
ã hóa d
ữ liệu.
Định dạng của AH:
Next Header: Trường này có độ dài 8 bits để xác định mào đầu tiếp theo sau AH.
Payload Length: Trường này có độ dài 8 bits để xác định độ dài của AH không có tải.
Reserved: Trường này có độ dài 16 bits dành để dự trữ cho việc sử dụng trong tương lai.
Giá trị của trường này được thiết lập bằng 0 bởi bên gửi và sẽ được loại bỏ bởi bên nhận.
SPI (Security Parameters index): Đây là một số 32 bits bất kì, cùng với địa chỉ đích và
giao thức an ninh ESP cho phép nhận dạng duy nhất chính sách liên kết bảo mật SA (xác
định giao thức IPSec và các thuật toán nào được dùng để áp dụng cho gói tin) cho gói dữ
liệu này. Các giá trị SPI 1-255 được dành riêng để sử dụng trong tương lai. SPI thường
được lựa chọn bởi phía thu khi thiết lập SA.
Bảo mật trong IPv6 – Nhóm Telecom
-13-
Sequence Number : Trường này có độ dài 32 bits, chứa một giá trị đếm tăng dần (SN),
đây là trường không bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho
một SA cụ thể nào đó. Việc thực hiện SN tùy thuộc phía thu, ngh
ĩa là phía phát luôn ph
ải
truyền trường này, còn phía thu có thể không cần phải xử lí nó. Bộ đếm của phía phát và
phía thu đều được khởi tạo 0 khi một SA được thiết lập (Gói đầu tiên truyền đi với SA đó sẽ
có SN=1)
Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn
vẹn ICV (Integrity Check Value) cho gói tin, có độ dài là số nguyên lần 32 bits. Trường này
có thể chứa thêm một phần dữ liệu đệm để đảm bảo độ dài của AH header là số nguyên lần
32 bít (đối với IPV4) hoặc 64 bít (đối với IPV6).
Chế độ xác thực:
o Xác thực từ đầu cuối đến đầu cuối (End-to-End Authentication): là trường hợp xác
thực trực tiếp giữa hai hệ thống đầu cuối (giữa máy chủ với trạm làm việc hoặc giữa hai
trạm làm việc), việc xác thực này có thể diễn ra trên cùng mạng nội bộ hoặc giữa hai mạng
khác nhau, chỉ cần hai đầu cuối biết được khoá bí mật của nhau. Trường hợp này sử dụng
chế độ vận chuyển (Transport Mode) của AH.
o Xác thực từ đầu cuối đến trung gian (End-to-Intermediate Authentication): là trường
hợp xác thực giữa hệ thống đầu cuối với một thiết bị trung gian (router hoặc firewall).
Trường hợp này sử dụng chế độ đường hầm (Tunnel Mode) của AH.
Bảo mật trong IPv6 – Nhóm Telecom
-14-
a) Gói tin IPv6 AH ở chế độ Transport:
b) Gói tin IPv6 AH ở chế độ Tunnel
Nguyên tắc hoạt động của AH
Bư
ớc 1
: AH s
ẽ đem gói dữ liệu (packet ) bao gồm : Payload + IP Header + Key cho chạy
qua gi
ải thuật Has
h 1 chi
ều v
à cho ra 1 chuỗi số,
và chu
ỗi số n
ày sẽ được gán vào AH
Header.
Bư
ớc 2
: AH Header này s
ẽ đ
ược chèn vào gi
ữa Payload v
à IP Header và chuy
ển sang
phía bên kia.
Bư
ớc 3
: Router đích sau khi nh
ận đ
ược gói tin này bao gồm
: IP Header + AH Header +
Payload s
ẽ được cho qua giải thuật Hash một lần nữa để cho ra một chuỗi số.
Bư
ớc 4
: so sánh chu
ỗi số nó vừa tạo ra v
à c
hu
ỗi số của nó nếu giốn
g nhau thì nó ch
ấp
nh
ận gói tin
.
Bảo mật trong IPv6 – Nhóm Telecom
-15-
II. Nguyên t
ắc hoạt động của ESP
ESP Header đư
ợc mô tả trong RFC 4303, cung cấp mã hóa bảo mật và toàn vẹn
d
ữ liệu trên mỗi điểm kết nối IPv6.
ESP là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ
li
ệu, kiểm tra tính to
àn vẹn của dữ liệu.
Khác v
ới AH, ESP cung cấp khả năng bí mật của thông tin thông qua việc mã
hóa gói tin
ở lớp IP, tất cả các lưu lượng ESP đều được mã hóa
gi
ữa 2 hệ thống, do đó
xu hư
ớng sử dụng ESP nhiều hơn AH trong tương lai để làm tăng tính an toàn cho dữ
liệu. Sau khi đóng gói xong bằng ESP, mọi thông tin và mã hoá và giải mã sẽ nằm
trong ESP Header.
Các thu
ật toán mã hoá sử dụng trong giao thức như : D
ES, 3DES, AES.
Đ
ịnh dạng của ESP Header như sau:
Bảo mật trong IPv6 – Nhóm Telecom
-16-
Đ
ịnh dạng mào đầu IPsec ESP
1. Đ
ịnh dạng ESP
:
ESP thêm m
ột header và Trailer vào xung quanh nội dung của mỗi gói tin.
SPI (Security Parameters Index): Trư
ờng này tương tự như bên AH
SN (Sequence Number): Trư
ờng này tương tự như bên AH
Payload Data: Trư
ờng này có độ dài biến đổi chứa dữ liệu mô tả bên trong
Next Header. Đây là trư
ờng bắt buộc và có độ dài là số nguyên lần bytes
Padding: Trư
ờng này được thêm vào bởi nếu thuật toán mật mã
đư
ợc sử
d
ụng yêu cầu bản rõ (plaintext) thì padding được sử dụng để điền vào plaintext (bao
g
ồm các trường Payload Data, Pad Length, Next Header và Padding) để có kích
thư
ớc theo y
êu cầu.
IVC: Giá tr
ị kiểm tra tính toàn vẹn, là trường có độ dài thay đổi đ
ư
ợc tính trên
các trư
ờng ESP trailer, Payload, ESP header. Thực chất các tr
ường ESP trailer đã
bao g
ồm kiểm tra tính toàn vẹn (IVC).
2. Gói tin IPv6 ESP ở chế độ Transport:
Bảo mật trong IPv6 – Nhóm Telecom
-17-
3. Gói tin IPv6 ESP
ở chế độ Tunnel
:
4. Nguyên t
ắc hoạt động
:
V
ề nguyên tắc hoạt động thì ESP sử dụng
m
ật mã đối xứng
đ
ể cung cấp sự
m
ật hoá dữ liệu cho các gói tin IPSec. Cho nên, để kết nối của cả hai đầu cuối đều
đư
ợc bảo vệ bởi mã hoá ESP thì hai bên phải sử dụng key giống nhau mới mã hoá và
gi
ải mã được gói tin.
Khi m
ột đầu cuối mã hoá dữ liệu, nó sẽ chia dữ liệu thành các khối (block)
nh
ỏ, v
à sau đó thực hiện thao tác
mã hoá nhi
ều lần
s
ử dụng các block dữ liệu v
à
khóa (key).
Khi m
ột đầu cuối khác nhận được dữ liệu mã hoá, nó thực hiện giải mã sử
d
ụng key giốn
g nhau và quá trình th
ực hiện tương tự, nhưng trong bước này ngược
v
ới thao tác mã hoá.
Nguyên t
ắc hoạt động của ESP Header.
Bảo mật trong IPv6 – Nhóm Telecom
-18-
K
ẾT LUẬN
IPv6 s
ẽ là giải pháp giải quyết vấn đề không gian địa chỉ IP cho tương lai, mang
đến cho người dùng khả năng bảo mật tốt hơn nhờ vào việc sử dụng IPSec .
IPv6Sec là một trong những tính năng ưu việt nổi bật của IPv6. Nó giúp phần làm
tăng cường tính an toàn an ninh thông tin khi trao đổi, giao dịch trên mạng Internet.
IPv6sec c
ũng đư
ợc lựa chọn là giao thức bảo mật sử dụng trong mạng riêng ảo và
thích hợp trong việc đảm bảo kết nối bảo mật từ đầu cuối tới đầu cuối. Bên c
ạnh
các tính năng ưu vi
ệt đó, IPv6 vẫn mang trong nó nhiều nguy cơ bảo mật nhất là
các cu
ộc tấn công ở các lớp tr
ên lớp mạng. Để phòng chống các rủi ro đó
ngư
ời
dùng hay người quản trị hệ thống phải có kiến thức sâu về giao thức mới này từ đó
tránh đư
ợc các cuộc tấn công v
à đảm bảo hệ thống mạng của mình luôn được an
toàn.