Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 23 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
23
Dung lượng
1,89 MB
Nội dung
NGHIÊN CỨU CÁC VẤN ĐỀ BẢO MẬT NÂNG CAO VỚI Ipv6 4. Nghiên cứu các vấn dề bảo mật nâng cao với IPv6 4.1. Nghiên cứu các tùy chọn bảo mật riêng cho IPV6 (Privacy Addresses) Ipv6 cung cấp một số lựa chọn địa chỉ khác nhau để hỗ trợ bảo mật. Bảo mật địa chỉ có thể được thực hiện bằng cách theo dõi các ứng dụng của người dùng, hoặc từ các thông tin từ bên ngoài. Phần này sẽ nói rõ hơn về privacy addressing trong IPv6, sự khác biệt giữa IPv6 và IPv4. Theo RFC 4291, các thiết bị tự động cấu hình địa chỉ định danh duy nhất toàn cầu theo cách thức định danh IEEE EUI-64. Điều này cung cấp cho cho card mạng một địa chỉ duy nhất gọi là địa chỉ MAC, nó không bị thay đổi ngay cả khi được chuyển sang mạng khác. Một giao diện chấp nhận các kết nối gửi đến một DNS không thể có một địa chỉ tin tưởng, nhưng nó vẫn còn có thể sử dụng các địa chỉ khác nhau cho các kết nối gửi đi. Trong RFC 4941, phần mở rộng bảo mật cho Stateless Address Autoconfiguration trong IPv6 được định nghĩa để tạo ra và thay đổi địa chỉ tạm thời như vậy. Các yêu cầu quan trọng là trình tự các địa chỉ tạm thời một giao diện lựa chọn phải được hoàn toàn không thể đoán trước và có xác suất thấp ít trùng với sự lựa chọn được thực hiện bởi các giao diện khác. Các phương pháp được đề xuất trong RFC 4941 hoạt động như sau: Lấy thông tin về định danh giao diện mà có thể được sử dụng mà không có kế hoạch này. Áp dụng một hàm băm mật mã giá trị này và một trong hai giá trị lịch sử lưu hoặc một số 64-bit được chọn ngẫu nhiên. Sử dụng đầu ra của hàm băm để chọn định danh giao diện và cập nhật các giá trị lịch sử. Chạy lệnh Duplicate Address Detection (DAD). Thiết lập thời gian sống thích hợp và tham gia nhóm multicast của nút tương ứng với định danh giao diện. Tiếp tục sử dụng định danh giao diện trước cho các kết nối liên tục, nhưng không phải cho những cái mới. 1 Lặp lại quá trình này bất cứ khi nào một trong những kết nối với một mạng mới, hoặc thiết lập các bộ định thời trong quá trình lặp đi lặp lại trước hết hạn. Ví dụ bảo mật riêng cho IPV6 Như một ví dụ về bảo mật sự riêng tư giải quyết hình trên cho thấy một giao diện Ethernet / 24 với một địa chỉ IPv4 không thể định tuyến chung, / 64 trên toàn cầu có khả năng định tuyến địa chỉ IPv6 được tạo ra với sự riêng tư giải quyết, trên toàn cầu có khả năng định tuyến thứ hai / 64 địa chỉ IPv6 dựa trên địa chỉ IEEE, và liên kết địa chỉ IPv6 địa phương dựa trên địa chỉ IEEE của nó. Đối với một số lý do, cơ chế bảo mật mở rộng nên được sử dụng với việc chăm sóc, nếu nó được sử dụng ở tất cả: - Bảo mật được thực sự cung cấp bao nhiêu là vấn đề. Đặc biệt là trên các mạng nhỏ không thay đổi nhiều, bất cứ ai có thể quan sát lưu lượng truy cập mạng cũng có thể tương quan hoạt động tương đối chính xác bất kể có hoặc không có địa chỉ thay đổi định kỳ. Một người quan sát thậm chí có thể có thể xác định mức độ thường xuyên mỗi giao diện là tạo ra địa chỉ mới. - Trên một số mạng, các quản trị viên có thể muốn có kiểm soát tốt hơn những gì được kết nối và tương ứng với địa chỉ được sử dụng. Chính sách an ninh địa phương có thể ra lệnh cho mục đích kiểm toán, pháp y, tất cả 2 các địa chỉ phải được Trung ương giao và đăng nhập.Trong những trường hợp như vậy, tốt hơn là không để cho phép các địa chỉ riêng tư hoặc tự động cấu hình địa chỉ không quốc tịch, nhưng yêu cầu sử dụng DHCPv6 cho các bài tập địa chỉ. - Nhìn chung, chính sách an ninh doanh nghiệp không mở rộng quyền của truyền thông tư nhân để một người dùng trên một máy tính doanh nghiệp hoặc truy cập vào mạng doanh nghiệp.Trong những trường hợp này, các mục tiêu của pháp y và an ninh có thể được xem như là quan trọng hơn so với mục tiêu bảo vệ sự riêng tư của người dùng trong khi sử dụng Internet. Đây là một quyết định chính sách cần được trái lên đến các bộ phận cá nhân hoặc cơ quan. - Thực hành tốt mạng là để áp dụng lọc xâm nhập, đó là, không cho phép các gói tin mà không có địa chỉ nguồn hợp lệ vào cốt lõi của mạng.Một số phân phối các cuộc tấn công tấn công từ chối dịch vụ (DDOS) đã sử dụng địa chỉ nguồn giả mạo với các tiền tố hợp lệ. Địa chỉ riêng tư có thể được khó khăn để phân biệt từ các địa chỉ được sử dụng trong các cuộc tấn công mà không có các biện pháp bổ sung như giới hạn tốc độ hoặc hoàn tất con đường ngược lại kiểm tra. Đối với những lý do này, các địa chỉ riêng tư không nên được bật theo mặc định, và cần được xem xét cẩn thận từng trường hợp cụ thể để cho dù đó là giá trị sử dụng.Trong nhiều trường hợp nơi doanh nghiệp đang hoạt động mạng riêng của mình, DHCPv6 địa chỉ có thể được ưa thích hơn. 4.2. Tạo khóa xác thực trong IPV6 (Cryptographically generated Address) Trong IPv6, có thể tạo một khóa dùng làm chữ ký điện tử (public signature key) cho mỗi một địa chỉ IP. Địa chỉ này được gọi là địa chỉ được tạo mã hóa CGA (Cryptographically Generated Address) [7]. Tính năng này gia tăng mức độ bảo vệ được dùng trong cơ chế phát hiện bộ định tuyến lân cận (neighbourhood router discovery mechanism) cho pháp người dùng cuối cung cấp bằng chứng sở hữu (proof of ownership) địa chỉ IP của mình. Tính năng này hoản toàn mới ở phiên bản IPv6 và nó đem lại các lợi điểm sau: - CGA khiến cho việc giả mạo (spoof) và đánh cắp địa chỉ trong IPv6 khó khăn hơn - Cho phép các thông điệp được đảm bảo tính nguyên vẹn bằng chữ ký điện tử - Không yêu cầu phải nâng cấp hay thay đổi hệ thống mạng 3 Tạo khóa xác thực từ cặp khóa Public-Private Quá trình gồm 4 bước như sau: Phía người gửi: - Tạo ra một cặp khóa và địa chỉ tương ứng. - Chèn khóa công khai trong một gói tin và ký tên với khóa riêng Phía người nhận: - Kiểm tra địa chỉ nguồn tương ứng với khóa công khai - Xác minh chữ ký với khóa công khai 4.3. Nghiên cứu Bảo mật IPSec cho địa chỉ IPv6 4.3.1. Tổng quan về giao thức bảo mật IPSec IPSec thực hiện mã hóa và xác thực ở lớp mạng. Nó cung cấp một giải pháp an toàn dữ liệu từ đầu cuối-đến-đầu cuối trong bản thân cấu trúc mạng(ví dụ khi thực hiện mạng riêng ảo VPN). Vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi các ứng dụng cũng như các hệ thống cuối. Các gói mã hóa có khuôn dạng giống như gói tin IP thông thường, nên chúng dễ dàng được định tuyến qua mạng Internet mà không phải thay đổi các thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc triển khai và quản trị. IPSec cung cấp bốn chức năng quan trọng sau: • Bảo mật(mã hóa)- Confidentiality: Người gửi có thể mã hóa dữ liệu trước khi truyền chúng qua mạng. Bằng cách đó, không ai có thể nghe trộm trên đường truyền. Nếu giao tiếp bị ngăn chặn, dữ liệu không thể đọc được. 4 • Toàn vẹn dữ liệu- Data integrity: Người nhận có thể xác minh các dữ liệu được truyền qua mạng Internet mà không bị thay đổi. IPSec đảm bảo toàn vẹn dữ liệu bằng cách sử dụng checksums (cũng được biết đến như là một giá trị băm). • Xác thực- Authentication: Xác thực đảm bảo kết nối được thực hiện và các đúng đối tượng. Người nhận có thể xác thực nguồn gốc của gói tin, bảo đảm, xác thực nguồn gốc của thông tin. • Antireplay protection: xác nhận mỗi gói tin là duy nhất và không trùng lặp. IPSec là một nền(Frame work) kết hợp giao thức bảo mật và cung cấp mạng riêng ảo với các dữ liệu bảo mật, toàn vẹn và xác thực. Làm việc với sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia vào mạng VPN. Các thiết bị này có thể là các host hoặc là các security gateway (routers, firewalls, VPN concentrator, ) hoặc là giữa 1 host và gateway như trong trường hợp remote access VPNs. Các giao thức chính sử dụng trong IPSec: • IP Security Protocol (IPSec) o Authentication Header (AH): cung cấp tính toàn vẹn phi kết nối và chứng thực nguồn gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại các cuộc tấn công replay. o Encapsulation Security Protocol (ESP): cung cấp tính năng bảo mật, chứng thực nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay. • Message Encryption o Data Encryption Standard (DES): Được phát triển bởi IBM. DES sử dụng 1 khóa 56-bít, đảm bảo hiệu năng mã hóa cao. DES là một hệ thống mã hóa khóa đối xứng. o Triple DES (3DES): là một biến thể của DES 56-bít. Hoạt động tương tự như DES, trong đó dữ liệu được chia thành các khối 64 bít. 3DES thực thi mỗi khối ba lần, mỗi lần với một khóa 56 bít độc lập. 3DES cung cấp sức mạnh khóa đáng kể so với DES. • Message Integrity (Hash) Functions 5 o Hash-based Message Authentication Code (HMAC) : là một thuật toán toàn vẹn dữ liệu đảm bảo tính toàn vẹn của bản tin. Tại đầu cuối, bản tin và một khóa chia sẻ bí mật được gửi thông qua một thuật toán băm, trong đó tạo ra một giá trị băm. Bản tin và giá trị băm được gửi qua mạng. Hai dạng phổ biến của thuật toán HMAC như sau: Message Digest 5 (MD5): là một hàm băm để mã hóa với giá trị băm là 128 bít. MD5 biến đổi một thông điệp có chiều dài bất kỳ thành một khối có kích thước cố định 128 bít. Thông điệp đưa vào sẽ được cắt thành các khối 512 bít, thông điệp sau đó được độn sao cho chiều dài của nó chia chẵn cho 512. Secure Hash Algorithm-1,2 (SHA-1,2): Sử dụng một khóa 160 bít, 224 bít…. • Peer Authentication o Rivest, Shamir, and Adelman (RSA) Digital Signutures: là một hệ thống mật mã khóa bất đối xứng. Nó sử dụng một chiều dài khóa là 512 bít, 768 bít, 1024 bít hoặc lớn hơn. IPsec không sử dụng RSA để mã hóa dữ liệu. Chỉ sử dụng RSA để mã hóa trong giai đoạn xác thực ngang hàng. o RSA Encrypted Nonces • Key Management o Diffie-Hellman (D-H) o Certificate Authority (CA) • Security Association o Internet Exchange Key (IKE): IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. o Internet Security Association and Key Management Protocol (ISAKMP) Chế độ vận hành • IPsec có thể được hoạt động theo chế độ chuyển giao(transport mode) từ máy chủ này đến máy chủ khác cũng như chế độ đường hầm (tunnel mode) trong mạng. 6 o Chế độ chuyển giao: chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới được mã hóa và/hoặc chứng thực. Trong quá trình Routing cả IP header đều không bị chỉnh sửa hay mã hóa. Transport mode sử dụng trong tình huống giao tiếp host to host. o Chế độ Tunnel: Trong chế độ tunnel, toàn bộ gói tin IP sẽ được mã hóa và/hoặc chứng thực. Sau đó nó được đóng gói vào một gói tin IP mới với tiêu đề IP mới. Chế độ tunnel được sử dụng để tạo Virtual Private Network (mạng riêng ảo) phục vụ cho việc liên lạc giữa các mạng, liên lạc giữa máy chủ và mạng (ví dụ như truy cập người sử dụng từ xa), và giữa các máy chủ. IPSec chế độ Tunnel mode 4.3.2. Giao thức bảo mật IPSec trong mạng IPv6 IP Security (IPSec) là tiêu chuẩn của IETF (Internet Engineering Task Force) nhằm cung cấp bảo mật cho mạng Internet. IPSec đảm bảo tính toàn vẹn, xác thực và bảo mật. IPSec được tích hợp sẵn trong IPv4 và IPv6 và được định nghĩa trong cùng các RFC. Chức năng này chủ yếu có cả trong môi trường IPv4 và IPv6 nhưng tính năng IPSec là bắt buộc trong IPv6. Điều này có nghĩa mọi điểm kết nối IPv6 đều phải kích hoạt IPsec và phải luôn sử dụng tính năng này, do đó mạng Internet IPv6 được bảo mật tốt hơn mạng Internet IPv4 cũ. Mào đầu gói tin IPv6: Header của IPv6 đơn giản và hợp lý hơn IPv4. IPv6 chỉ có 6 trường và 2 địa chỉ, trong khi IPv4 chứa 10 trường và 2 địa chỉ, IPv6 header có kích thước cố định. Trong khi IPv4 header có kích thước thay đổi. Với kích thước cố định thì một router có thể xử lý gói tin một cách hiệu 7 quả. Chiều dài phần mào đầu: Mào đầu IPv4 có một trường chiều dài không cố định đó là Tùy chọn(Option). Trường này được sử dụng để thêm các thông tin về các dịch vụ tùy chọn khác nhau trong IPv4(Ví dụ như thông tin liên quan đến mã hóa). Do đó, chiều dài của mào đầu IPv4 thay đổi tùy theo tình trạng. Vì sự thay đổi đó, các bộ định tuyến điều khiển giao tiếp dựa trên những thông tin trong phần mào đầu không thể biết trước chiều dài của mào đầu. Điều này cản trở việc tăng tốc xử lý gói tin. Gói tin IPv6 có hai dạng mào đầu: mào đầu cơ bản và mào đầu mở rộng. Phần mào đầu cơ bản có chiều dài cố định 40 byte, chứa những thông tin cơ bản trong xử lý gói tin IPv6. Những thông tin liên quan đến dịch vụ mở rộng kèm theo được chuyển hẳn tới một phân đoạn khác gọi là mào đầu mở rộng. Cấu trúc gói tin IPv6: Cấu trúc gói tin IPv6 Định dạng các trường mào đầu: Cấu trúc mào đầu của IPv6 header gồm • Phiên bản (Version): Gồm 4 bít được sử dụng để xác định phiên bản của giao thức IP đang được sử dụng và nó có giá trị là 6 với IPv6. • Phân dạng lưu lượng (Traffic Class): Gồm 8 bít thực hiện chức năng tương tự trường Dạng dịch vụ (Type of Service) của IPv4. Trường này được sử dụng để biểu diễn mức độ ưu tiên của gói tin, mỗi điểm kết nối IPv6 có thể đánh dấu gói tin với từng loại dữ liệu, ví dụ gói tin nên được truyền với tốc độ nhanh hay thông thường. • Nhãn dòng(Flow Label): Có chiều dài 20 bít, là trường mới được thiết lập trong IPv6. Trường này được sử dụng để chỉ định gói tin thuộc một dòng(Flow) nhất định giữa nguồn và đích, yêu cầu bộ định tuyến IPv6 phải có cách xử lý đặc biệt. Bằng cách sử dụng trường này, nơi gửi gói tin có thể xác định một chuỗi các gói tin, ví dụ gói tin của dịch vụ thoại VoIP thành một dòng và yêu cầu chất lượng cụ thể cho dòng đó. Khi một router xác định dòng lưu lượng lần đầu, nó sẽ nhớ dòng lưu lượng đó, cũng như 8 các xử lý đặc biệt ứng với lưu lượng này, và khi các lưu lượng khác thuộc dòng này đến, nó sẽ xử lý nhanh hơn là xử lý từng packet. • Chiều dài tải dữ liệu(Payload Length): Gồm 16 bít, tương tự như trường total length của IPv4, xác định tổng kích thước của gói tin IPv6 bao gồm cả phần mào đầu mở rộng (không chứa header). • Next header: Gồm 8 bít, thay thế trường Thủ tục(Protocol). Trường này chỉ định đến mào đầu mở rộng đầu tiên của gói tin IPv6, đặt sau mào đầu cơ bản hoặc chỉ định tới thủ tục lớp trên như TCP, UDP, ICMPv6 khi trong gói tin IPv6 không có mào đầu mở rộng. • Hop limit: Gồm 8 bít, được sử dụng để giới hạn số hop mà packet đi qua, được sử dụng để tránh cho packet được định tuyến vòng vòng trong mạng. Trường này giống như trường TTL (Time-To-Live) của IPv4. • Source Address: Gồm 128 bít, xác định địa chỉ nguồn của gói tin. • Destination Address: Gồm 128 bít, xác định địa chỉ đích của gói tin Định dạng gói tin IPv6 Các trường mào đầu mở rộng: Mào đầu mở rộng (extension header) là đặc tính mới của thế hệ địa chỉ IPv6. Những thông tin liên quan đến dịch vụ kèm theo được chuyển hẳn tới một phân đoạn khác gọi là header mở rộng, mỗi header mở rộng được nhận dạng bởi trường Next Header. Các header mở rộng được đặt giữa IPv6 header và header của các giao thức lớp trên, được sử dụng để mang các thông tin tuỳ chọn ở lớp mạng (Network layer) trong gói tin. Một gói tin IPv6 có thể chứa một hay nhiều header mở rộng , được đặt sau mào đầu cơ bản. Các mào đầu mở rộng được đặt nối tiếp nhau theo thứ tự quy định, mỗi dạng có cấu trúc trường riêng. Thông 9 thường, các mào đầu mở rộng được xử lý tại đích. Tuy nhiên cũng có dạng mào đầu mở rộng được xử lý tại mọi bộ định tuyến mà gói tin đó đi qua, đó là dạng mào đầu mở rộng Từng bước (Hop by Hop). Mỗi header mở rộng sẽ có giá trị đại diện cho nó. Ví dụ: TCP (6); UDP (7); Routing header (43); Fragment header (44); ESP (50); AH (51); ICMP (58) [1]. Các giá trị của trường Next Header Mào đầu cơ bản và mọi mào đầu mở rộng IPv6 đều có trường mào đầu tiếp theo (Next Header) chiều dài 8 bít. Trong mào đầu cơ bản, trường Next Header sẽ xác định gói tin có tồn tại mào đầu mở rộng hay không. Nếu không có mào đầu mở rộng giá trị của trường sẽ xác định phần mào đầu của tầng cao hơn (TCP hay UDP…) phía trên của tầng IP. Nếu có, giá trị trường Next Header chỉ ra loại mào đầu mở rộng đầu tiên theo sau mào đầu cơ bản. Tiếp theo, trường Next Header của mào đầu mở rộng thứ nhất sẽ trỏ tới mào đầu mở rộng thứ hai, đứng kế tiếp nó. Trường Next Header của mào đầu mở rộng cuối cùng sẽ có giá trị xác định mào đầu tầng cao hơn. 10 [...]... giao thức được sử dụng Kết luận: IPv6Sec là một trong những tính năng ưu việt nổi bật của IPv6 Nó giúp phần làm tăng cường tính an toàn an ninh thông tin khi trao đổi, giao dịch trên mạng Internet IPv6sec cũng được lựa chọn là giao thức bảo mật sử dụng trong mạng riêng ảo và thích hợp trong việc đảm bảo kết nối bảo mật từ đầu cuối tới đầu cuối 4.4 Nghiên cứu kỹ thuật bảo mật Stateless Address Autoconfiguration... có cơ chế bảo mật mật mã, và nó luôn luôn là đối tượng tấn công giả mạo, đầu độc bộ nhớ cache, và tấn công từ chối dịch vụ Hầu hết các cài đặt đối phó với điều này bằng cách hạn chế ARP để liên kết local và chính sách các nút trên liên kết với local Điều này trở nên ngày một khó khăn với mạng LAN không dây IPv6 ND neighbor được thực hiện với ICMPv6, và nó là cả hai có thể và mong muốn để đảm bảo rằng... Extension Header Tích hợp bảo mật IPsec trong địa chỉ IPv6: Cấu trúc địa chỉ IPv6 sử dụng IPSec để đảm bảo tính toàn vẹn, bảo mật và xác thực nguồn gốc dữ liệu sử dụng hai mào đầu mở rộng tùy chọn: mào đầu Xác thực- (AH -Authentication Header) và mào đầu Mã hóa (ESP - Encrypted Security Payload) Hai Header này có thể được sử dụng chung hay riêng để hỗ trợ nhiều chức năng bảo mật Các chế độ làm việc chính... cứu kỹ thuật bảo mật Stateless Address Autoconfiguration và Neighbor Discovery Bảo mật cho các giao thức tự động cấu hình và Neighbor Discovery (ND) luôn luôn là một chủ đề khó khăn, bởi vì nó là tự nhiên mơ để có mối quan hệ tin cậy có từ trước với các đơn vị chưa phát hiện hoặc sử dụng bảo mật trước khi cấu hình địa chỉ Các cuộc tấn công chống lại cấu hình địa chỉ và giao thức phân giải địa chỉ bao... thực và đảm bảo tính toàn vẹn dữ liệu Nguyên tắc hoạt động của ESP: ESP Header được mô tả trong RFC 4303, cung cấp mã hóa bảo mật và toàn vẹn dữ liệu trên mỗi điểm kết nối IPv6 ESP là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn của dữ liệu Khác với AH, ESP cung cấp khả năng bí mật của thông tin thông qua việc mã hóa gói tin ở lớp IP, tất cả các lưu... ngược với thao tác mã hoá Nguyên tắc hoạt động của ESP Header • So sánh giữa AH và ESP Tính bảo mật AH ESP Giao thức IP lớp 3 51 50 Toàn vẹn dữ liệu Có Có Xác thực dữ liệu Có Có Mã hóa dữ liệu Không Có Có Có Hoạt động với NAT Không Có Hoạt động với PAT Không Không Chống tấn công phát lại Bảo vệ gói tin IP Có Không Chỉ bảo vệ dữ liệu Không Có 20 Quản lý khóa Để áp dụng hai mào đầu AH và ESP yêu cầu các. .. mạo các điều kiện unreachability, chuyển hướng lưu lượng truy cập, vô hiệu hóa các thiết bị định tuyến, quảng cáo các tiền tố không có thật, xuyên tạc các thông số mạng, và những người khác Hầu hết các hướng ảnh hưởng đến mạng lưới địa phương, nhưng một số cũng có thể nhắm mục tiêu bảo mật hoặc tính toàn vẹn của thông tin Mạng IPv4 không có phương tiện tự động cấu hình địa chỉ và neighbor discovery với. .. an toàn thông tin • Quản lý khóa thủ công: IPv6 yêu cầu tất cả các thao tác đều có thể cho phép thiết lập thủ công khóa bí mật Công nghệ cấu hình bằng tay được cho phép trong IPSec chuẩn và có thể được chấp nhận để cấu hình một hay hai gateway nhưng việc gõ key bằng tay không thích hợp trong một số trường hợp số lượng các gateway nhiều và cũng gây ra các vấn đề không an toàn trong quá trình tạo khóa... bảo rằng những thông điệp đó không được định tuyến, kể từ khi ND sử dụng tất cả các nút địa chỉ "liên kết nhóm multicast địa phương, theo mặc định các thông báo không được chuyển Nó cũng có thể áp dụng bảo mật mật mã các tin nhắn này IPv6 Autoconfiguration và ND sử dụng ICMPv6 tin nhắn để thực hiện một số nhiệm vụ khác nhau Các loại thông điệp chính của ICMPv6 là: - NS (Neighbor Solicitation) - NA (Neighbor... (IVC) • Gói tin IPv6 ESP ở chế độ Transport: Mào đầu được mã hóa trong chế độ IPv6 ESP Transport( Phần màu nâu đậm là phần dữ liệu được mã hóa) • Gói tin IPv6 ESP ở chế độ Tunnel: Mào đầu được mã hóa trong chế độ IPv6 ESP Tunnel( Phần màu nâu sậm là phần dữ liệu được mã hóa) 19 • Nguyên tắc hoạt động: Về nguyên tắc hoạt động thì ESP sử dụng mật mã đối xứng để cung cấp sự mật hoá dữ liệu cho các gói tin . NGHIÊN CỨU CÁC VẤN ĐỀ BẢO MẬT NÂNG CAO VỚI Ipv6 4. Nghiên cứu các vấn dề bảo mật nâng cao với IPv6 4.1. Nghiên cứu các tùy chọn bảo mật riêng cho IPV6 (Privacy Addresses) Ipv6 cung. và cung cấp mạng riêng ảo với các dữ liệu bảo mật, toàn vẹn và xác thực. Làm việc với sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu,. tin và ký tên với khóa riêng Phía người nhận: - Kiểm tra địa chỉ nguồn tương ứng với khóa công khai - Xác minh chữ ký với khóa công khai 4.3. Nghiên cứu Bảo mật IPSec cho địa chỉ IPv6 4.3.1. Tổng