Đồ án tốt nghiệp Mục lục MỤC LỤC THUẬT NGỮ VIẾT TẮT iv DANH MỤC HÌNH VẼ vii DANH MỤC BẢNG BIỂU viii CHƯƠNG 1: TỔNG QUAN VỀ ĐỊA CHỈ IPV6 .1 1.1 ĐỊA CHỈ IPV6 1.2 NHỮNG HẠN CHẾ CỦA IPV4 12 1.3 CÁC TIÊU ĐỀ MỞ RỘNG TRONG IPV6 13 1.4 GIAO THỨC ĐIỀU KHIỂN BẢN TIN ICMPV6 .14 1.5 ĐỊNH TUYẾN TRÊN ĐỊA CHỈ IPV6 17 1.6 KẾT LUẬN CHƯƠNG 19 CHƯƠNG 2: CÁC TÍNH NĂNG NÂNG CAO CỦA ĐỊA CHỈ IPV6 20 CÁC TÍNH NĂNG NÂNG CAO CỦA ĐỊA CHỈ IPV6 20 2.2 KĨ THUẬT MULTICAST TRONG IPV6 22 2.3 CHẤT LƯỢNG DỊCH VU QOS TRONG IPV6 .25 2.4 GIAO THỨC CẤU HÌNH TỰ ĐỘNG DHCP CHO IPV6 .27 2.5 TỔNG KẾT CHƯƠNG 29 CHƯƠNG 3: VẤN ĐỀ BẢO MẬT TRONG IPV6 30 3.1 CÁC MỐI ĐE DỌA ĐẾN BẢO MẬT IPV6 30 3.2 NGHIÊN CỨU CÁC VẤN ĐỀ BẢO MẬT NÂNG CAO VỚI IPV6 .35 3.3 CÁC GIẢI PHÁP DỰA TRÊN IPV6 52 3.4 TRIỂN KHAI IPV6 CHO IOT 54 3.5 KẾT LUẬN CHƯƠNG 58 KẾT LUẬN 59 TÀI LIỆU THAM KHẢO 60 SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang iii Đồ án tốt nghiệp Thuật ngữ viết tắt THUẬT NGỮ VIẾT TẮT Tên viết tắt Tên đầy đủ Ý nhĩa AH Authentication Header Header IPv6 nhằm đảm bảo tính chân thực tồn vẹn gói tin trình truyền ARP Address Resolution Protocol Giao thức phân giải địa AS Autonmous Hệ tự quản tập hợp thiết bị định tuyến có hệ quản trị Địa đích DA Destination Address DHCP Dynamic Host Configuration Giao thức cấu hình IP tự động cho Protocol máy trạm DHCPv4 Dynamic Host Configuration DHCP phiên Protocol DHCPv6 Dynamic Host Configuration DHCP phiên Protocol ESP Encapsulationg Security Payload Một kiểu header IPv6 nhằm cung cấp khả bảo mật cho gói tin Ipv6 ICMP Internet Control Message Protocol Giao thức tạo thông điệp điều khiển internet ICMPv4 Internet Control Message Protocol version ICMP phiên ICMPv6 Internet Control Message Protocol version ICMP phiên ID Indentify Digital Chứng thực số IP Internet Protocol Giao thức internet SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang iv Đồ án tốt nghiệp IPsec Internet Protocol Security Thuật ngữ viết tắt Một kiểu bảo mật IPv6 với hai trường AH ESP IKE Internet Key Exchange Trao đổi khóa internet IPv4 Internet protocol version Giao thức IP version IPv6 Internet protocol version Giao thức IP version IoT Internet of Thing Internet vạn vật IGMP Internet Group Management Protocol Giao thức quản lý nhóm Internet LAN Local Area Network Mạng cục MAC Medium Access Control Kiểm soát truy nhập môi trường truyền thông MTU Maximun Transmission Unit Đơn vị truyền dẫn cực đại ND Neighbor Discovery Giao thức phát Neighbor NA Neighbor Advertisement Quảng bá nút mạng lân cận NAT Netwwork Address Translation Cơ chế biên dịch địa mạng OSPF Open Short Path Firt Giao thức định tuyến chọn đường mở ngắn QoS Quality of Service Chất lượng dịch vụ RA Router Advertisement Quảng bá định tuyến RS Router Solicitation Dò tìm định tuyến RIP Routing Information Protocol Giao thức thông tin định tuyến, dùng định tuyến mạng nhỏ TCP Transmission Control Giao thức điều khiển truyền tải Protocol SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang v Đồ án tốt nghiệp Thuật ngữ viết tắt TTL Time to live Thời gian sống UDP User Datagram Protocol Giao thức liệu người dùng VPN Virtual Private Network Một kiểu mạng hai mạng LAN đầu cuối kết nối với thông qua Internet hoạt động mạng LAN SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang vi Đồ án tốt nghiệp Danh mục hình vẽ DANH MỤC HÌNH VẼ Hình 1.1 Sự phát triển địa IP Hình 1.2 Cấu trúc gói tin IPV6 Hình 1.3 Cấu trúc địa Link-local Hình 1.4 Cấu trúc địa Site-local 10 Hình 1.5 Phần mào đầu IPv4 11 Hình 1.6 Mơ hình thực NAT địa Ipv4 13 Hình 2.1 Dạng thức địa multicast 22 Hình 3.1 Trường hợp Firewall đặt trước Router biên 31 Hình 3.2 Trường hợp Firewall đặt Router biên 32 Hình 3.3 Trường hợp Firewall đặt sau Router biên 32 Hình 3.4 Tạo khóa xác thực từ cặp khóa Public-Private 36 Hình 3.5 IPSec chế độ Tunnel mode 39 Hình 3.6 Cấu trúc gói tin IPv6 40 Hình 3.7 Định dạng gói tin IPv6 41 Hình 3.9 Mào đầu mở rộng địa IPv6 42 Hình 3.10 IPSec chế độ Transport 44 Hình 3.11 IPSec chế độ Tunnel 44 Hình 3.12 Định dạng mào đầu IPsec AH 45 Hình 3.13 Hai chế độ xác thực AH 46 Hình 3.14 Mào đầu xác thực chế độ IPv6 AH Transport 47 Hình 3.15 Mào đầu xác thực chế độ IPv6 AH Tunnel 47 Hình 3.16 Mơ tả AH xác thực đảm bảo tính toàn vẹn liệu 48 Hình 3.17 Định dạng mào đầu IPsec ESP 49 Hình 3.19 Mào đầu mã hóa chế độ IPv6 ESP Tunnel 50 Hình 3.20 Nguyên tắc hoạt động ESP Header 51 Hình 3.21 Các thách thức để cung cấp IoT 52 SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang vii Đồ án tốt nghiệp Danh mục bảng biểu DANH MỤC BẢNG BIỂU Bảng 1.1 Bảng 1.2 Bảng 1.3 Bảng 3.1 Các giá trị trường header gói tin IPv6 Các kiểu địa IPv6 Các giá trị trường mào đầu gói tin IPv6 14 So sánh AH ESP 51 SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang viii Đồ án tốt nghiệp Chương 1: Tổng quan địa IPV6 CHƯƠNG 1: TỔNG QUAN VỀ ĐỊA CHỈ IPV6 1.1 ĐỊA CHỈ IPV6 1.1.1 Lịch sử phát triển địa IPv6 IPv6 giao thức thiết kế để xử lý tốc độ phát triển Internet để đối phó với u cầu đòi hỏi dịch vụ, di động bảo mật end-to-end Các phần sau mô tả hạn chế IPv4, tính IPv6, động lực cho việc triển khai IPv6 IPv6 hứa hẹn đạt an ninh đầu cuối, truyền thông di động, chất lượng dịch vụ (QoS) quản lý hệ thống đơn giản IPv4 có nhiều nhược điểm, quan trọng việc không gian địa IPv4 cạn kiệt Điều dẫn đến tất yếu phải đời hệ địa giải nhược điểm IPv4, IPv6 Thế hệ địa IPv6 giải vấn đề IPv4 mà cung cấp thêm số ưu điểm: - Không gian địa lớn - Khả mở rộng định tuyến - Hỗ trợ tốt truyền thông nhóm Hỗ trợ end to end dễ dàng loại bỏ tồn cơng nghệ NAT Khơng cần phải phân mảnh, khơng cần trường kiểm tra phần đầu Hình 1.1 Sự phát triển địa IP 1.1.2 Tính IPv6 a, Chức cấu hình tự động địa IPv6 Để gán địa thông số hoạt động cho thiết bị IPv6 kết nối vào mạng mà khơng cần nhân cơng cấu hình tay, sử dụng DHCPV6 SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang Đồ án tốt nghiệp Chương 1: Tổng quan địa IPV6 Đây gọi dạng thức cấu hình tự động có trạng thái (stateful autoconfiguration) Bên cạnh đó, thiết bị IPv6 có khả tự động cấu hình địa thông số hoạt động mà không cần có hỗ trợ máy chủ DHCP Đó đặc điểm hệ địa IPv6 gọi dạng thức cấu hình khơng trạng thái Cấu trúc IPv6 Header Gói tin IPv6 có hai dạng header: header header mở rộng (extension header) Phần header có chiều dài cố định 40 byte, chứa thơng tin xử lý gói tin IPv6, thuận tiện cho việc tăng tốc xử lý gói tin Những thơng tin liên quan đến dịch vụ mở rộng kèm theo chuyển hẳn tới phân đoạn khác gọi header mở rộng Cấu trúc gói tin IPv6: Phiên Phân dạng lưu lượng Mã dòng Chiều dài tải liệu Mào đầu Giới hạn bước Địa nguồn (128 bit) Địa đích (128 bit) Hình 1.2 Cấu trúc gói tin IPV6 Mặc dù trường địa nguồn địa đích header IPv6 có chiều dài 128 bit, gấp lần địa IPv4, song phần header IPv6 gấp hai lần IPv4 Đó nhờ dạng thức header đơn giản hoá IPv6 cách bỏ bớt trường không cần thiết sử dụng Những trường bỏ phần mào đầu IPv6:  Tuỳ chọn: Một thay đổi quan trọng khơng tồn trường Option header IPv6, thông tin liên quan đến dịch vụ kèm theo (vốn mô tả trường Option header IPv4 được) đặt riêng phần header mở rộng, đặt sau header Vi vậy, chiều dài phần mào đầu IPv6 cố định (40 byte)  Kiểm tra header: Trong IPv4, Header Checksum số sử dụng để kiểm tra lỗi phần header, tính tốn dựa thông tin phần header Do giá trị trường thời gian sống (Time to Live TTL) thay đổi gói tin truyền qua định tuyến (router), số kiểm tra header cần phải tính tốn lại gói tin qua router IPv4 IPV6 giải phóng định tuyến khỏi SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang Đồ án tốt nghiệp Chương 1: Tổng quan địa IPV6 công việc này, nhờ giảm độ trễ gói tin IPv6 qua router Do lớp TCP phía lớp IP có kiểm tra lỗi thơng tin nên việc thực phép tính tương tự tầng IP không cần thiết dư thừa, trường kiểm tra header loại bỏ khỏi phần header IPv6  Chiều dài header: Chiều dài phần header gói tin IPv6 cố định 40 byte, khơng cần thiết có trường  Các trường định danh, cờ, định phân mảnh: Trong IPv4, trường phục vụ cho việc phân mảnh gói tin Trong IPv6, thông tin phân mảnh không bao gồm header mà chuyển hẳn sang header mở rộng có tên gọi header phân mảnh Việc thực phân mảnh ứng dụng thực máy tính nguồn Do vậy, thơng tin hỗ trợ phân mảnh bỏ khỏi phần header phần xử lý định tuyến chuyển sang phần header mở rộng, phần xử lý đầu cuối Những trường header IPv6 thực chức tương tự header IPv4  Phiên - bit: Cùng tên với trường IPv4 khác giá trị thể địa phiên  Phân dạng lưu lượng - bit: Thực chức tương tự trường dạng dịch vụ (Type of Service) IPv4 Trường sử dụng để biểu diễn mức ưu tiên gói tin, ví dụ gói tin nên truyền với tốc độ nhanh hay thông thường, hướng dẫn thiết bị thông tin xử lý gói cách tương ứng  Chiều dài tải liệu - 16 bit: Trường thay cho trường tổng chiều dài (Total Length) địa IPv4 Tuy nhiên xác định chiều dài phần liệu Phần liệu gói tin IPv6 tính bao gồm header mở rộng Với chiều dài 16 bit, trường Playload Length định chiều dài phần liệu gói tin IPv6 lên tới 65,535 byte  Giới hạn bước - bit: Thay trường thời gian sống (Time to live) IPv4  Header - bit: Thay trường thủ tục (Protocol) Trường định đến header mở rộng gói tin IPv6 (nếu có) đặt sau header bản, định tới thủ tục lớp TCP, UDP, ICMPV6 gói tin IPv6 khơng có phần header mở rộng Nếu sử dụng để định thủ tục lớp trên, trường có giá trị tương tự trường Protocol IPv4  Địa nguồn: Địa nguồn chiều dài 128 bit  Địa đích: Địa đích chiều dài 128 bit SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang Đồ án tốt nghiệp Chương 1: Tổng quan địa IPV6 Trường thêm header ipv6:  Nhãn dòng: Trường Flow Label có chiều dài 20 bit, trường thiết lập IPv6 Trường sử dụng để định gói tin thuộc dòng định nguồn đích, yêu cầu định tuyến IPv6 phải có cách xử lý đặc biệt Flow Label dùng muốn áp dụng chất lượng dịch vụ (Quality of Service QOS) không mặc định Ví dụ: QOS cho liệu thời gian thực (thoại, video) Bằng cách sử dụng trường này, nơi gửi gói tin xác định chuỗi gói tin, ví dụ gói tin dịch vụ thoại VoiIP thành dòng yêu câu chất lượng dịch vụ cụ thể cho dòng Theo mặc định, flow Label đặt giá trị Có thể có nhiều dòng nguồn đích, xác định giá trị tách biệt Flow Label Các giá trị trường header gói tin IPV6: Bảng 1.1 Các giá trị trường header gói tin IPv6 Giá trị Các dạng header mở rộng IPv6 Từng bước (hop-by-hop) 43 Định tuyến (routing) 44 Phân mảnh (Fragment) 50 Mã hóa (Encapsulating Security Playload - ESP) 51 Xác thực (Authentication Header - AH) 60 Đích (Destination) Hiện nay, có sáu dạng header mở rộng tương ứng sáu dịch vụ định nghĩa Đó là: bước (Hop-By-Hop), đích (Destination), định tuyến (Routing), phân mảnh (Fragment), xác thực (Authentication Header - AH) mã hoá (Encapsulating Security Playload - ESP) Thứ tự header mở rộng gói tin đặt theo quy tắc định Các dạng header mở rộng IPv6:  Từng bước: Hop-by-Hop mào đầu mở rộng đặt sau header Header sử dụng để xác định tham số định bước đường truyền dẫn gói tin từ nguồn tới đích Do xử lý định tuyến đường truyền dẫn gói tin SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6 chứa thêm phần liệu đệm để đảm bảo độ dài AH header số nguyên lần 32 bít (đối với IPV4) 64 bít (đối với IPV6) Chế độ xác thực:  Xác thực từ đầu cuối đến đầu cuối (End-to-End Authentication): trường hợp xác thực trực tiếp hai hệ thống đầu cuối (giữa máy chủ với trạm làm việc hai trạm làm việc), việc xác thực diễn mạng nội hai mạng khác nhau, cần hai đầu cuối biết khoá bí mật Trường hợp sử dụng chế độ truyền tải AH  Xác thực từ đầu cuối đến trung gian (End-to-Intermediate Authentication): trường hợp xác thực hệ thống đầu cuối với thiết bị trung gian (router firewall) Trường hợp sử dụng chế độ đường hầm (Tunnel Mode) AH Hình 3.13 Hai chế độ xác thực AH Gói tin IPv6 AH chế độ Transport: SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 46 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6 Hình 3.14 Mào đầu xác thực chế độ IPv6 AH Transport Gói tin IPv6 AH chế độ Tunnel: Hình 3.15 Mào đầu xác thực chế độ IPv6 AH Tunnel Nguyên tắc hoạt động AH bao gồm bước: Bước 1: AH đem gói liệu (packet) bao gồm : Payload + IP Header + Key SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 47 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6 + Tiếp theo cho chạy qua giải thuật Hash chiều cho chuỗi số chuỗi số gán vào AH Header Bước 2: AH Header chèn vào Payload IP Header chuyển sang phía bên Bước 3: Router đích sau nhận gói tin bao gồm : IP Header + AH Header + Payload cho qua giải thuật Hash lần chuỗi số Bước4: So sánh chuỗi số vừa tạo chuỗi số giống chấp nhận gói tin Hình 3.16 Mơ tả AH xác thực đảm bảo tính tồn vẹn liệu Nguyên tắc hoạt động ESP: ESP Header mô tả RFC 4303, cung cấp mã hóa bảo mật toàn vẹn liệu điểm kết nối IPv6 ESP giao thức an toàn cho phép mật mã liệu, xác thực nguồn gốc liệu, kiểm tra tính tồn vẹn liệu Khác với AH, ESP cung cấp khả bí mật thơng tin thơng qua việc mã hóa gói tin lớp IP, tất lưu lượng ESP mã hóa hệ thống, xu hướng sử dụng ESP nhiều AH tương lai để làm tăng tính an tồn cho liệu Sau đóng gói xong ESP, thơng tin mã hố giải mã nằm ESP Header Các thuật toán mã hoá sử dụng giao thức : DES, 3DES, AES Định dạng ESP Header sau: SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 48 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6 Hình 3.17 Định dạng mào đầu IPsec ESP  Định dạng ESP: ESP thêm header trailer vào xung quanh nội dung gói tin  SPI (Security Parameters Index): Trường tương tự bên AH SN (Sequence Number): Trường tương tự bên AH Payload Data: Trường có độ dài biến đổi chứa liệu mô tả bên Next Header Đây trường bắt buộc có độ dài số nguyên lần bytes Padding: Trường thêm vào thuật toán mật mã sử dụng yêu     cầu rõ (plaintext) padding sử dụng để điền vào plaintext (bao gồm trường Payload Data, Pad Length, Next Header Padding) để có kích thước theo u cầu IVC: Giá trị kiểm tra tính tồn vẹn, trường có độ dài thay đổi tính trường ESP trailer, Payload, ESP header Thực chất trường ESP trailer bao gồm kiểm tra tính tồn vẹn (IVC) Gói tin IPv6 ESP chế độ Transport: SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 49 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6 Hình 3.18 Mào đầu mã hóa chế độ IPv6 ESP Transport Gói tin IPv6 ESP chế độ Tunnel: Hình 3.19 Mào đầu mã hóa chế độ IPv6 ESP Tunnel Nguyên tắc hoạt động: Về nguyên tắc hoạt động ESP sử dụng mật mã đối xứng để cung cấp mật mã liệu cho gói tin IPSec SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 50 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6 Để kết nối hai đầu cuối bảo vệ mã hố ESP hai bên phải sử dụng key giống mã hố giải mã gói tin Khi đầu cuối mã hố liệu, chia liệu thành khối (block) nhỏ sau thực thao tác mã hoá nhiều lần sử dụng block liệu khóa (key) Khi đầu cuối khác nhận liệu mã hố, thực giải mã sử dụng key giống trình thực tương tự, bước ngược với thao tác mã hố Hình 3.20: Ngun tắc hoạt động ESP Header  So sánh AH ESP Bảng 3.1 So sánh AH ESP Tính bảo mật AH ESP Giao thức IP lớp 51 50 Toàn vẹn liệu Có Có Xác thực liệu Có Có Mã hóa liệu Khơng Có Chống cơng phát lại Có Có Hoạt động với NAT Khơng Có Hoạt động với PAT Không Không SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 51 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6 Bảo vệ gói tin IP Có Khơng Chỉ bảo vệ liệu Khơng Có Quản lý khóa Để áp dụng hai mào đầu AH ESP yêu cầu bên tham gia phải thỏa thuận khóa chung để sử dụng việc kiểm tra an tồn thơng tin  Quản lý khóa thủ công: IPv6 yêu cầu tất thao tác cho phép thiết lập thủ cơng khóa bí mật  Quản lý khóa tự động  Internet Key Exchange (IKE) cung cấp key cách tự động, quản lý SA hai chiều, tạo key quản lý key IPsec tính ưu viê ̣t bật IPv6 Nó giúp phần làm tăng cường tính an tồn an ninh thơng tin trao đổi, giao dịch mạng Internet IPv6sec lựa chọn giao thức bảo mật sử dụng mạng riêng ảo thích hợp việc đảm bảo kết nối bảo mật từ đầu cuối tới đầu cuối 3.3 CÁC GIẢI PHÁP DỰA TRÊN IPV6 Các thách thức mô tả kết nối, độ tin cậy, an ninh tính di động, giải thơng qua giải pháp IPv6 Hình 3.21 Các thách thức để cung cấp IoT SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 52 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6 3.3.1 Kết nối độ tin cậy Cơ sở IoT dựa việc cung cấp kết nối độ tin cậy Để đáp ứng yêu cầu này, khuôn dạng kết nối dựa Internet, cụ thể IPv6 GLoWBAL IPv6 đề xuất để tối ưu hóa địa tồn cầu liên quan đến thiết bị thông minh mạng LAN không dây công suất thấp (LoWPAN) GLoWBAL IPv6 có lợi việc cung cấp địa tích hợp hiệu cho thiết bị cảm biến, không hỗ trợ cho 6LoWPAN công nghệ khác, không hỗ trợ khả truyền thông IPv6 vào ngăn xếp chúng GLoWBAL IPv6 định nghĩa địa truy cập / nhận dạng (AAID) để giảm chi phí từ mạng tiêu đề truyền tải AAID đơn giản hóa tham số truyền thơng IPv6 UDP (địa nguồn đích, ban đầu dài 36 byte) thành nhận dạng giao tiếp byte bổ sung byte cho tiêu đề gửi đi, tổng cộng byte cho tiêu đề GLoWBAL IPv6 Do đó, tiêu đề IPv6 / UDP giảm đáng kể Cơ chế đạt định dạng khung hiệu cho truyền thơng tồn cầu mạng khơng có hỗ trợ cho IPv6 Một ví dụ tiềm mơ tả Hãy sử dụng thiết bị không đồng với giao diện Bluetooth Low Energy, chẳng hạn điện thoại thơng minh có kết nối Internet thơng qua giao diện mạng di động GLoWBAL IPv6 đáp ứng yêu cầu địa IPv6 cho thiết bị thông minh kết nối với điện thoại thông minh thơng qua mạng Bluetooth Low Energy cách đóng vai trò giao thức ánh xạ mạng cục mạng diện rộng (mạng di động) cách sử dụng địa IPv6 Tuy nhiên, GLoWBAL IPv6 giải pháp phù hợp cho tất thiết bị cần kích hoạt IPv6, tất thiết bị khơng cung cấp tính lập trình điện thoại thơng minh gateway Ví dụ thiết bị tìm thấy công nghệ kế thừa từ thị trường cơng nghiệp tự động hóa xây dựng Mỗi cơng nghệ kèm với cảm biến phù hợp với mục đích mơi trường ứng dụng tương ứng họ Một số hiệp hội nhà sản xuất hình thành để xây dựng khn khổ cơng nghệ thơng dụng, ví dụ Konnex (KNX) để xây dựng tự động hóa Mặc dù tiêu chuẩn thực tế phổ biến rộng rãi nay, điều không làm cản trở việc sử dụng giao thức có liên quan khác ZigBee lên X10 cũ IPv6 Addressing Proxy cung cấp chế minh bạch cho người dùng thiết bị để ánh xạ địa khác từ công nghệ kế thừa đến địa IPv6 Địa proxy cho phép địa IPv6 đến tất thiết bị không phụ thuộc vào công nghệ SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 53 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6 thiết bị cung cấp giải pháp mở rộng đồng để tương tác với thiết bị không hỗ trợ địa IPv6 3.3.2 Khả mở rộng an ninh tính di động Thứ nhất, IPv6 hỗ trợ khả kết nối độ tin cậy với tài nguyên không đồng nhờ khn khổ kết nối trình bày tính IPv6 Sau đó, kiến trúc truyền thơng yêu cầu cung cấp khả truyền thông cao bảo mật di động Vì lý đó, mục tiêu hỗ trợ khả mở rộng an ninh tính di động Mobile IPv6 (MIPv6) giao thức thành lập IPv6 để hỗ trợ tính di động MIPv6 sử dụng hai địa IPv6, địa ban đầu thiết bị, địa định danh ID nhận dạng địa mạng truy cập Giao thức MIPv6 cung cấp tín hiệu báo hiệu phần mở rộng tiêu đề IPv6 để quản lý ràng buộc hai địa Ngoài ra, điều định nghĩa chế bảo mật yêu cầu kết nối để tránh thay danh tính cơng man-in-the-middle Tính khả thi MIPv6 thiết bị xem xét cho IoT kết cho ta thấy MIPv6 thể chi phí cao cho gói liệu nút di động chuyển vùng Ngoài ra, IPSec bắt buộc MIPv6 để đảm bảo mối quan hệ tin cậy nút di động trạm trung tâm Việc bảo vệ thông tin liên lạc nút di động trạm trung tâm yêu cầu MIPv6 IPSec trình bày khó khăn đóng gói gói tin bên IPv6 Vấn đề với đóng gói tiêu đề bên khơng thể nén tối ưu hóa Tuy nhiên, cách tiếp cận trình bày lỗ hổng bảo mật trường hợp lớp ứng dụng khơng an tồn Vì lý đó, cơng việc phân tích phù hợp IPSec ESP để cung cấp bảo mật cho gói tin đóng gói để tránh lỗ hổng bảo mật 3.4 TRIỂN KHAI IPV6 CHO IOT 3.4.1 Vai trò IPv6 với IoT  Khơng gian địa IP lớn  Hỗ trợ kết nối end-to-end  Tự động cấp địa cho thiết bi  Định tuyến nhanh  Bảo mật tốt  Chất lượng dịch vụ tốt SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 54 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6  Dễ dàng triển khai multicast  Hỗ trợ tốt cho thiết bị di động  Vận hành hệ thống đơn giản  Dễ dàng chuyển đổi hệ thống IPv4 sang Ipv6 a, Không gian địa IP lớn  Giải tốt vấn đề định danh cho thiết bị, senso kết nối IoT  Đáp ứng tốt nhu cầu cấp địa cho số lượng lớn thiết bị kết nối IoT  Nhu cầu địa IP lớn IoT động lực thúc đẩy triển khai IPv6 b, Hỗ trợ kết nối end-to-end  Sử dụng địa IPv6 giúp hệ thống IoT dễ dàng kết nối Internet  Địa IPv6 hỗ trợ tốt cho thiết bị di động, chế định tuyến thiết bị  Dễ dàng cung cấp dịch vụ end-to-end: VOIP c, Tự động cấp địa cho thiết bị Địa IPv6 có khả tự động cấp địa IP  Không cần kết nối đến DHCP server  Dễ dàng kết nối thiết bị  Giảm chi phí nhân công  Phù hợp với mạng không dây  Đặc biệt phù hợp với mạng IoT có số lượng thiết bị lớn, thường xuyên có thay đổi số lượng thiết bị kết nối d, Định tuyến nhanh  Cấu trúc header gói tin đơn giản  Khơng tính checksum header, giúp giảm thời gian xử lý header gói tin, tối ưu thời gian định tuyến  Cấu trúc đánh địa phân cấp định tuyến thống nhất, dựa số mức nhà cung cấp dịch vụ, giúp tránh nguy tải bảng thông tin định tuyến chiều dài địa IPv6 lên đến 128 bit e, Bảo mật tốt IPsec yêu cầu bắt buộc, bao gồm giao thức giúp nâng cao khả bảo mật trình truyền liệu trao đổi khóa bảo mật  Giao thức AH (Authentication Header)  Giao thức ESP (Encapsulating Security Payload) SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 55 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6  Giao thức IKE (Internet Key Exchange) Tạo điều kiện thuận lợi cho nhà cung cấp dịch vụ đưa loại dịch vụ cần đảm bảo tính riêng tư dịch vụ IoT f, Chất lượng dịch vụ tốt Cấu trúc header gói tin IPv6 bổ sung trường thông tin hỗ trợ phân loại luồng liệu xác (từ nguồn đến đích) phục vụ định tuyến  Giúp dễ dàng xác định xử lý định tuyến hiệu  Thông tin không bị thay đổi qua hệ thống trung gian, đó, đấp ứng yêu cầu cao QoS, đặc biệt thích hợp với hoạt động điều khiển thiết bị từ xa yêu cầu độ trễ đường thấp g, Dễ dàng triển khai Multicast  Số lượng địa multicast lớn nên việc triển khai multicast không bị hạn chế không gian địa  Địa multicast bắt buộc IPv6, đó, ISP hỗ trợ việc triển khai multicast  Multicast mơ hình điều khiển thiết bị phổ biến IoT h, Hỗ trợ tốt cho thiết bị di động  Giải vấn đề cấp địa cho thiết bị di động  Cung cấp chế, chức hỗ trợ định tuyến di động, đó, dễ dàng triển khai dịch vụ di động cần địa IP riêng cho thiết bị di động  Đặc biệt phù hợp triển khai dịch vụ IoT cần điều khiển, giám sát vật thể thông qua điện thoại di động i, Vận hành hệ thống đơn giản  Hỗ trợ chế kết nối đồng ISP, đó, ln có kết nối dự phòng giúp đảm bảo tính sẵn sàng dịch vụ  Khả tự động cấp địa cho thiết bị giúp giảm đáng kể chi phí nhân cơng vận hành, đặc biệt hệ thống mạng có số lượng thiết bị kết nối lớn IoT k, Dễ dàng chuyển đổi hệ thống IPv4 sang IPv6  IPv6 kế thừa ưu điểm IPv4, tạo điều kiện thuận lợi cho trình chuyển đổi  Các phần tử mạng IPv6 hỗ trợ đồng thời IPv4 IPv6  Hệ thống mạng IPv6 hoạt động song song với hệ thống IPv4 trình chuyển đổi kết thúc 3.4.2 Thách thức triển khai IPv6 cho IoT SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 56 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6  Nâng cấp thiết bị hỗ trợ IPv6  Các thiết bị nhiều thiết bị sử dụng chuẩn kết nối khác chưa hỗ trợ IPv6  Thiết bị IoT chủ yếu thiết bị công suất thấp, việc hỗ trợ IPv6 phải có giải pháp cân đối chức thiết bị lượng tiêu thụ  Cần thời gian để khách hàng, nhân viên quản trị hệ thống, dịch vụ làm quen với việc sử dụng thiết bị hỗ trợ IPv6  Chuyển đổi hệ thống mạng IoT sang IPv6  Xác định thời điểm chuyển đổi  Lộ trình chuyển đổi phù hợp với hệ thống, nhu cầu khách hàng phát triển sở hạ tầng  Kế hoạch chuyển đổi cụ thể, không ảnh hưởng đến hoạt động hệ thống, dịch vụ  Triển khai IPv6 cho IoT q trình cần có phối kết hợp nhiều đơn vị nhà cung cấp hạ tầng mạng internet, nhà cung cấp thiết bị, nhà cung cấp dịch vụ  Tích hợp hệ thống mạng IoT sử dụng IPv4 IPv6  Đảm bảo khả hoạt động thông suốt hệ thống sử dụng IPv4 hệ thống chuyển đổi sang IPv6  Kết nối mở rộng hệ thống IoT - Kết nối với hệ thống chưa sử dụng IPv6 - Kết nối với hệ thống sử dụng IPv6  An tồn thơng tin triển khai IPv6 cho IoT  Giải vấn đề an tồn thơng tin tương tự hệ thống IoT sử dụng IPv4 3.4.3 Ví dụ giải pháp VNPT Technology  Nghiên cứu phát triển thiết bị IoT Gateway hỗ trợ IPv6  Cho phép kết nối hoạt động tốt với hệ thống IPv4 IPv6  Hỗ trợ chế đảm bảo an tồn thơng tin - Cho phép áp dụng giao thức mã hóa liệu, trao đổi khóa bảo mật - Hỗ trợ chế phát mã độc, hình thức cơng MITM (Man in the middle)  Nền tảng IoT hỗ trợ kết nối đến thiết bị hệ thống IPv6 SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 57 Đồ án tốt nghiệp Chương 3: Vấn đề bảo mật IPv6  Triển khai tối đa cơng nghệ điện tốn biên IoT: Giám sát 24/24 thấy nghi ngờ khoanh vùng tạm cách ly Fog Node khỏi hệ thống cho thiệt hại nhỏ  Sử dụng FN, Fa hỗ trợ IPv6  Giảm khoảng cách truyền thông vật thể kết nối  Giảm công suất truyền liệu  Phù hợp với thiết bị đầu cuối  IPv6 có vai trò quan trọng IoT  Triển khai IPv6 lựa chọn để đáp ứng tốc độ phát triển thiết bị, khả kết nối mở rộng mạng lưới dịch vụ IoT  Triển khai IPv6 IoT đặt nhiều thách thức quan chức năng, nhà cung cấp hạ tầng mạng, nhà cung cấp thiết bị đơn vị cung cấp giải pháp dịch vụ  Chuyển đổi sang IPv6 áp dụng IoT trình lâu dài, cần có lộ trình phát triển rõ ràng phối hợp cấp quản lý, đơn vị nghiên cứu doanh nghiệp 3.5 KẾT LUẬN CHƯƠNG Chương trình bày mối đe dọa đến bảo mật IPv6 công thám, truy cập trái phép, nguy phân mảnh xử lý header, khuếch đại tin, vấn đề an ninh chế chuyển tiếp lỗ hổng IPv6 Bên cạnh chương đề cập vấn đề bảo mật nâng cao IPv6, tùy chọn bảo mật riêng, tạo khóa xác thực, bảo mật IPsec cho IPv6 Trong chương trình bày giải pháp dựa IPv6 kết nối độ tin cậy khả mở rộng an ninh tính di động Vai trò IPv6 với IoT số lượng địa IP lớn, hỗ trợ kết nối end-toend, tự động cấp địa cho thiết bị, định tuyến nhanh hơn, bảo mật tốt hơn, chất lượng dịch vụ tốt, dễ dàng triển khai multicast, hỗ trợ tốt cho thiết bị di động, vận hành hệ thống đơn giản, dễ dàng chuyển đổi hệ thống IPv4 sang IPv6 thách thức triển IPv6 cho IoT SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 58 Đồ án tốt nghiệp Kết luận KẾT LUẬN Qua thời gian tìm hiểu, tiếp cận nghiên cứu địa IPv6 nói chung vấn đề bảo mật IPv6 nói riêng, đồ án tốt nghiệp hoàn thành đạt mục tiêu nghiên cứu đề tìm hiểu vấn đề liên quan đến “ Nghiên cứu vấn đề bảo mật IPv6” Nội dung trình bày bao gồm: Các nội dung tổng quan, lịch sử phát triển, chức cấu hình tự động, kiểu địa IPv6 Trình bày nhìn tổng quan địa IPv6, tính năng, chức cấu hình tự động địa IPv6 Bên cạnh trình bày việc tích hợp IPsec , chất lượng dịch vụ, không gian địa kiểu địa IPv6 Những hạn chế IPv4 cạn kiệt địa chỉ, hạn chế công nghệ, hạn chế bảo mật kết nối đầu cuối- đầu cuối Các tiêu đề mở rộng giao thức điều khiển tin cách thức định tuyến địa IPv6 Trình bày tính nâng cao địa IPv6, khác tính nâng cao IPv4 IPv6 Chúng ta nghiên cứu kĩ thuật Multicast, chất lượng dịch vụ QoS IPv6 so sánh khác QoS IPv4 IPv6 Ngồi chương trình bày giao thức cấu hình tự động DHCP cho IPv6 Các mối đe dọa đến bảo mật IPv6 công thám, truy cập trái phép, nguy phân mảnh xử lý header, khuếch đại tin, vấn đề an ninh chế chuyển tiếp lỗ hổng IPv6 Những vấn đề bảo mật nâng cao với IPv6 Vai trò IPv6 với IoT thách thức triển khai IPv6 cho IoT Trên số kết luận từ việc tìm hiểu đồ án Em xin chân thành cảm ơn quý thầy, cô hướng dẫn khoa học phản biện để giúp em hồn thiện thiếu sót đồ án tốt nghiệp em SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 59 Đồ án tốt nghiệp Tài liệu tham khảo TÀI LIỆU THAM KHẢO [1] D Farinacci, D Lewis, D Meyer, and V Fuller, “The Locator/ID Separation Protocol (LISP),” IETF RFC 6830, January 2013, http://www.ietf.org/rfc/rfc6830.txt [2] Franỗois Kooman, IPv6 Deployment In Local Area Networks, April 2011 [3] Prof Joe McManus, Mitigating IPv6 Vulnerabilities, April 24 ,2015 [4] Antonio J Jara, Latif Ladid, and Antonio Skarmeta, The Internet of Everything through IPv6: An Analysis of Challenges, Solutions and Opportunities, 2011 [5] A J Jara, M A Zamora, and A Skarmeta, “Glowbal IP: An adaptive and transparent IPv6 integration in the Internet of Things,” Mobile Information Systems, vol 8, no 3, pp 177–197, 2012 [6] Vives, A.; Palet, J., "IPv6 Distributed Security: Problem Statement," The 2005 Symposium on Applications and the Internet Workshops, 2005 Saint Workshops 2005, vol., 18- 21, 31-04 Jan 2005 [7] Davies, J., Understanding IPv6, Microsoft Press, Redmond, WA, 2003 [8] Vives, A.; Palet, J., "IPv6 Distributed Security: Problem Statement," Symposium on Applications and the Internet Workshops, Saint Workshops, vol., 18- 21, 31-04 Jan 2005 [9] Brittan Clore, Validating a custom IPv6 security application using OPNET modeler , 2013 [10] Prof Joe McManus, Mitigating IPv6 Vulnerabilities, April 24, 2015 [11] Ford, M., “New Internet Security and Privacy Models Enabled by IPv6,” The 2005 Symposium on Applications and the Internet Workshops, 2005 Saint Workshops 2005, vol., no.pp 2-5, 31-04 Jan 2005 [12] A J Jara, P Moreno, A Skarmeta, S Varakliotisy, and P Kirstein, “IPv6 addressing proxy: Mapping native addressing from legacy communication technologies and protocols to IPv6 and the Internet of Things,” in Proc of the 3rd International Conference on the Internet of Things (IoT’12), Wuxi, China, October 2012, pp 1–6 [13] S Raza, S Duquennoy, J Hoglund, U Roedig, and T Voigt, “Secure communication for the Internet of ¨ Things—a comparison of link-layer security and IPsec for 6LoWPAN (Online First, DOI: 10.1002/sec.406),” Security and Communication Networks, 2012 [14] D Farinacci, D Lewis, D Meyer, and V Fuller, “The Locator/ID Separation Protocol (LISP),” IETF RFC 6830, January 2013, http://www.ietf.org/rfc/rfc6830.txt SVTH: Nguyễn Thị Hoa Mai- D13VT5 Trang 60 ... biến, không bảo mật lưu lượng truyền tải máy Nếu áp dụng lPsec (Internet Protocol Security) phương thức bảo mật phổ biến tầng IP, mơ hình bảo mật chủ yếu bảo mật lưu lượng mạng, việc bảo mật lưu... chuyển đổi mạng từ IPv4 sang IPv6 Để triển khai mạng IPv6 hiệu thiết thực, nhà thiết kế đưa giải pháp triển khai mạng IPv6 mạng IPv4 Vì xuất vấn đề, máy tính sử dụng IPv6 truy cập website dùng... tin) Hạn chế tính bảo mật kết nối đầu cuối - đầu cuối Trong cấu trúc thiết kế IPv4 khơng có cách thức bảo mật kèm IPv4 khơng cung cấp phương tiện hỗ trợ mã hóa liệu Kết bảo mật mức ứng dụng sử