Trên cơ sở mạng IPv4 được chuẩn hoá vào những năm 1980, Internet đã phát triển nhanh và trở thành nền tảng xã hội không thể thiếu được. Ngày nay, các mạng IP, cũng như Internet, tiếp tục được nâng cao về cả tốc độ lẫn chức năng. Các mạng IP phải cung cấp nhiều chức năng bao gồm những việc cung cấp đảm bảo cho chất lượng dịch vụ, di động, sự liên kết giữa các máy chủ…. Tuy nhiên Internet trên cơ sở IPv4 bị giới hạn về sự mở rộng, bảo đảm chất lượng dịch vụ, đảm bảo an toàn, và khả năng quản lý bởi vì IPv4 được thiết kế như là mạng kết nối của các nhà nghiên cứu và do đó không có được chuẩn
bị để phục vụ cho hạ tầng xã hội. IPv6 không chỉ là một sự mở rộng của miền địa chỉ mạng hơn IPv4 mà là kĩ thuật chính để vượt qua những hạn chế trên.
Ipv6 còn được gọi là giao thức Internet thế hệ kế tiếp hoặc IPng. IETF đưa ra tập nhân giao thức IPv6 vào 10-08-1998. IPv6 thích hợp cho thế hệ kế tiếp của giao thức Internet bởi vì nó giải quyết được vấn đề mở rộng Internet, và cung cấp một cơ chế quá độ mềm dẻo cho mạng Internet hiện tại, và nó được thiết kế để phù hợp với các yêu cầu của thị trường, như các thiết bị máy tính cá nhân, môi trường mạng làm việc và điều khiển thiết bị.
Hình 2.5 : Khuôn dạng gói tin Ipv6.
IPv6 có nhiều ưu điểm hơn so với IPv4
Không gianđịa chỉ lớn
IPng tăng địa chỉ IP từ 32 bit lên thành 128 bit, để hỗ trợ nhiều mức phân cấp địa chỉ, số lượng nút lớn hơn, và việc tự động cấu hình đơn giản hơn. Nó định nghĩa thêm một kiểu địa chỉ mới là “địa chỉ bất kì”, để xác định một tập các nút mà một gói tin gửi tới một địa chỉ bất kì sẽ được phân phối tới một trong các nút đó.
Hỗ trợ nhiều tuỳ chọn hơn
IPv6 có nhiều cải tiến cho mạng di động và truyền thông thời gian thực. Không giống như IPv4, IPv6 có một khả năng tự động cấu hình mạnh giúp cho việc quản trị hệ thống các trạm di động và các LAN.
Các khả năng chất lượng dịch vụ
Một tính năng mới của được thêm vào là cho phép đánh nhãn các gói tin liên quan đến các luồng lưu lượng để cho bộ phát yêu cầu điều khiển đặc biệt, như là dịch vụ thời gian thực.
Các tính năng xác thực và bảo mật
IPv6 bao gồm các định nghĩa mở rộng hỗ trợ cho xác thực, toàn vẹn dữ liệu và bảo mật. Nó được coi như là một phần tử cơ sở của IPv6.
An toàn
IPv6 sử dụng IPSec để thực hiện vấn đề an toàn. Giao thức an toàn tương ứng có thể được nâng cấp từ IPv4. Sử dụng IPv6 loại bỏ được nguy cơ tiềm ẩn khi phải sử dụng NAT để chuyển đổi địa chỉ của các gói tin IP trước khi đi ra khỏi mạng cục bộ vào mạng công cộng. Cùng với khả năng hỗ trợ nhiều mào đầu Ipv6 giúp cho việc xây dựng mạng riêng ảo đơn giản hơn và hiệu quả hơn.
2.2.1. Kiến trúc an toàn cho giao thức Internet
a) Tổng quan
IPsec được thiết kế nhằm cung cấp sự an toàn với khả năng liên kết, chất lượng cao trên cơ sở mã hoá cho IPv6 và IPv4. Tập các dịch vụ an toànđược đề xuất bao gồm điều khiển truy nhập, toàn vẹn phi kết nối, xác thực dữ liệu gốc, chống lặp, bảo mật (mã hoá) và bảo mật luồng lưu lượng bịgiới hạn. Các dịch vụ này cung cấp cho tầng IP, và được đề xuất bảo vệ cácgiao thức tầng cao hơn IP.
IPSec sử dụng của hai cơ chế an toàn lưu lượng: mào đầu xác thực (AH), dữ liệu an toàn đóng gói (ESP), và thông qua các thủ tục quản lý khoá bí mật và các giao thức để thực hiện các mục tiêu đặt ra. Tuỳ theo các yêu cầu về hệ thống và an toàn của người sử dụng, người quản trị hay của đơn vị, tổ chức, nó sẽ quyết định tập các giao thức IPsec thực hiện trong mỗi hoàn cảnh cùng với cách thực hiện chúng.
Khi các cơ chế này thực hiện chính xác, nó không có ảnh hưởng xấu đối với người dùng hay với các thành phần Internet khác không thực hiện các cơ chế an toàn bảo vệ lưu lượng. Các cơ chế này cũng được thiết kế độc lập thuật toán, việc modunle hoá này cho phép việc lựa chọn các tập thuật toán khác nhau không ảnh hưởng đến việc thực hiện ở các phần khác. Cho nên người dùng khác có thể chọn một tập các thuật toán khác nếu muốn.
Một tập chuẩn các thuật toán ngầm định được xác định để dễ dàng trao đổi trên Internet toàn cầu. Sử dụng các thuật toán này, với việc liên kết với bảo vệ lưu lượng IPsec và các giao thức quản lý khoá, nhằm mục đích cho phép những người phát triển ứng dụng và hệ thống làm việc với các kĩ thuật an toàn bảo mật, tầng Internet, chất lượng cao.
Sự tương thích của các giao thức IPsec và kết hợp các thuật toán ngầm định được thiết kế để cung cấp an toàn chất lượng cao cho lưu lượng Internet. Để đảm bảo an toàn cho hệ thống máy tính và mạng có rất nhiều nhân tố, bao gồm người dùng (nhân viên), thủ tục, các thoả thuận, và thực hiện an toàn máy tính, do dó IPsec chỉ là một phần trong kiến trúc an toàn hệ thống tổng thể. Hơn thế nữa, mức an toàn tạo bởi việc sử dụng IPsec còn phụ thuộc vào nhiều khía cạnh của môi trường ứng dụng. Ví dụ, thiếu sót trong OS, khả năng tạo số ngẫu nhiên thấp, các qui trình, thực hiện quản lý hệ thống tuỳ tiện v.v… làm giảm khả năng an toàn do IPSec cung cấp. Trong phạm vi đề tài này sẽ không đề cập đến những khía cạnh trên.
Thực hiện IPsec trên môi trường một trạm hoặc một gateway an toàn cho phép bảo vệ cho lưu lượng IP, việc bảo vệ này trên cơ sở các yêu cầu được định nghĩa bởi một cơ sở dữ liệu chính sách an toàn do một người dùng hoặc một người quản trị hệ thống, hoặc bởi một ứng dụng thiết lập và duy trì. Nhìn chung, các gói tin lựa chọn một trong ba mô hình xử lý trên cơ sở thông tin mào đầu lớp truyền tải và IP được thể hiện dựa vào các bản ghi vào trong cơ sở dữ liệu (SDP). Mỗi gói áp dụng các dịch vụ an toàn Ipsec, hoặc bị huỷ bỏ, hoặc được phép bỏ qua IPsec trên cơ sở các cơ sở dữ liệu chính sách.
IPsec cung cấp các dịch vụ an toàn tại tầng IP bằng việc cho phép một hệ thống lựa chọn các giao thức an toàn, quyết định các thuật toán sử dụng cho các dịch vụ, lưu trữ các khoá bí mật cung cấp cho các dịch vụ yêu cầu. IPsec có thể sử dụng để bảo vệ một hoặc nhiều kênh truyền giữa hai trạm, giữa hai gateway an toàn, hoặc giữa một gateway an toàn và trạm.
Tập các dịch vụ an toàn mà IPsec có thể cung cấp bao gồm điều khiển truy nhập, toàn vẹn phi kết nối, xác thực dữ liệu gốc, từ chối gói tin lặp, bảo mật (mã hoá), và bảo mật luồng lưu lượng bị giới hạn. Bởi vì các dịch vụ này được cung cấp tại tầng IP, nên có thể sử dụng chúng cho bất kì một giao thức nào tầng nào cao hơn TCP, UDP, ICMP... IPsec sử dụng 2 giao thức để thực hiện an toàn lưu lượng là mào đầu xác thực (AH), và dữ liệu an toàn đóng gói (ESP).
Mào đầu xác thực IP cung cấp toàn vẹn phi kết nối, xác thực dữ liệu gốc, và tùy chọn dịch vụ loại gói phát lặp.
Giao thức dữ liệu an toàn đóng gói (ÉP) có thể cung cấp khả năng khả năng bảo mật (mã hóa), và bảo mật luồng lưu lượng bị giới hạn. Nó cũng có thể cung cấp toàn vẹn phi kết nối, xác thực dữ liệu gốc, và dịch vụ loại bỏ gói lặp.
+ Cả AH và ESP chuyên dung để điều khiển truy nhập, trên cơ sở phân phối các khoa bí mật và quản lý luồng lưu lượng lien quan đến các giao thức an toàn này.
Những giao thức an toàn này có thể ứng dụng riêng hoặc kết hợp với nhau để cung cấp một tập mong muốn các dịch vụ an toàn cho IPv4 và IPv6.
Mỗi giao thức hỗ trợ hai chế độ: chế độ truyền tải và chế độ đường hầm. Trong chế độ truyền tải, các giao thức cung cấp sự bảo vệ cơ bản nhất cho các giao thức lớp trên; trong chế độ đường hầm, các giao thức ứng dụng để các gói IP đi qua đường hầm. Khi thực hiện IPsec cần phải làm rõ:
• Các dịch vụ an toàn sử dụng và cách kết hợp chúng.
• Trọng tâm việc bảo vệ an toàn
• Các thuật toán sử dụng an toàn hiệu quả trên cơ sở bảo mật.
Bởi vì các dịch vụ an toàn chia sẻ các giá trị bí mật (khoá bí mật), IPsec sử dụng một tập các cơ chế riêng biệt lưu trữ các khoá. (các khoá thường được sử dụng để xác thực toàn vẹn và dịch vụ mã hoá). Việc phân phối những khoá này phải có khả năng thực hiện bằng 2 cách: tự động và nhân công.
b) Các SA Khái niệm SA
Một SA là một “kết nối” đơn giản cung cấp các dịch vụ an toàn để ruyền tải lưu lượng. Một SA sử dụng AH và ESP để cung cấp các dịch vụ an toàn, nhưng không sử dụng đồng thời cả hai giao thức. Nếu AH và ESP được ứng dụng với một luồng lưu lượng, thì cần tạo ra 2 (hoặc nhiều hơn) SA để bảo vệ luồng lưu lượng. Thông thường, truyền thông hai hướng giữa hai trạm, hoặc giữa các gateway an toàn sử dụng hai SA (một cho mỗi hướng).
Một SA được xác định duy nhất bởi một bộ 3: chỉ số tham số an toàn (SPI), địa chỉ IP đích và giao thức an toàn (AH hoặc ESP). Theo nguyên tắc, địa chỉ đích có thể là
địa chỉ đơn hướng, một địa chỉ quảng bá, hoặc một địa chỉ đa hướng. Tuy nhiên, cơ chế quản lý SA của IPsec hiện thời được định nghĩa chỉ cho SA đơn hướng. Theo đó, SA được xem như là dung truyền thông điểm - điểm, mặc dù có thể dùng cho trường hợp điểm-đa điểm.
Có hai kiểu SA được định nghĩa: SA chế độ truyền tải và SA chế độ đường hầm. Một SA chế độ truyền tải là một SA giữa hai trạm. Trong trường hợp sử dụng ESP, một SA chế độ truyền tải chỉ cung cấp các dịch vụ an toàn cho các giao thức tầng cao hơn, không dùng cho mào đầu IP hay các mào đầu mở rộng có trước mào đầu ESP. Trong trường hợp sử dụng AH, việc bảo vệ cũng được mở rộng cho những phần được chọn của mào đầu IP, những phần được chọn của các mào đầu mở rộng, các tuỳ chọn được lựa chọn (có trong mào đầu IPv4, mào đầu mở rộng Hop-by –Hop IPv6).
Một SA chế độ đường hầm là một SA được ứng dụng cho một đường hầm IP. Khi một đầu của SA là một gateway an toàn, thì SA phải ở chế độ đường hầm. Hai host có thể thiết lập một SA chế độ đường hầm giữa chúng. SA đường hầm xuất hiện tuỳ thuộc vào sự cần thiết loại bỏ những vấn đề tiềm ẩn đối với việc phân mảnh và tập hợp lại các gói tin, và trong những trường hợp khi có nhiều kênh truyền (qua nhiều gateway an toàn khác nhau) tồn tại tới cùng một đích ẩn sau các gateway an toàn. Nếu AH được thực hiện ở chế độ đường hầm, những phần của mào đầu IP phía ngoài được bảo vệ tốt như trong trường hợp gói IP đường hầm. Nếu ESP được thực hiện, việc bảo vệ được thực hiện chỉ cho các gói đường hầm, không cho các mào đầu phía ngoài.
Các chức năng của SA
Việc cung cấp dịch vụ an toàn khi sử dụng SA phụ thuộc vào giao thức an toàn được lựa chọn, chế độ SA, các đầu cuối của SA, và các dịch vụ tuỳ chọn trong giao thức.
Tuỳ chọn AH cung cấp việc xác nhận dữ liệu gốc và toàn vẹn phi kết nối cho dữ liệu IP. AH cho phép dịch vụ loại bỏ lặp tuỳ theo phía thu, nhằm hỗ trợ bộ đếm khi có các cuộc tấn công từ chối dịch vụ. AH như là một giao thức tương đương để thực hiện khi việc bảo mật không được yêu cầu (hoặc không được phép, phụ thuộc vào các hạn chế của chính phủ về bảo mật). AH cũng cung cấp xác thực những phần của mào đầu IP được lựa chọn, nó có thể là cần thiết trong một vài trường hợp. Ví dụ, nếu tính toàn vẹn cho tuỳ chọn IPv4 hoặc mào đầu mở rộng IPsec phải được bảo vệ trên đường truyền giữa bộ thu và bộ phát, AH có thể cung cấp dịch vụ này (ngoại trừ trường hợp không thể dự đoán trước nhưng những phần có thể thay đổi của mào đầu IP).
Tuỳ chọn ESP cung cấp sự bảo mật cho lưu lượng. ESP cũng có thể cung cấp tuỳ chọn việc xác thực. Nếu việc xác thực được thoả thuận cho một ESP SA, bộ thu cũng có thể đưa ra dịch vụ chống lặp với cùng một chức năng như dịch vụ chống lặp do AH cung cấp. Phạm vi của xác thực cho phép bởi ESP hẹp hơn so với AH, các mào đầu IP phía ngoài mào đầu ESP không được bảo vệ. Nếu các giao thức tầng trên cần được xác thực, thì xác thực ESP là một tuỳ chọn phù hợp và có hiệu quả hơn so với việc sử dụng AH.
Lưu ý rằng cả bảo mật và xác nhận đều là tuỳ chọn, không thể thực hiện cả hai cùng một lúc, nhưng tối thiểu phải lựa chọn một trong hai giao thức. Nếu dịch vụ bảo mật được lựa chọn, thì SA ESP giữa 2 gateway an toàn có thể bảo mật luồng lưu lượng cục bộ. Việc sử dụng chế độ đường hầm cho phép các mào đầu IP phía trong được mã hoá, che giấu lưu lượng nguồn và đích. Hơn thế nữa, việc chèn thêm dữ liệu ESP cũng có thể giấu đi kích thước của gói tin, giấu đi các đặc tính mở rộng của lưu lượng. Dịch vụ bảo mật luồng lưu lượng tương tự có thể cho phép khi một người dùng di động đăng kí một địa chỉ IP động trong trường hợp quay số, và thiết lập (chế độ đường hầm) SA ESP tới một firewall của tổ chức (đóng vai trò như một gateway an toàn ).
2.2.2. Kiến trúc an toàn của giao thức IPV6
• Kiến trúc an toàn của IPv6 dựa trên nền tảng của kiến trúc an toàn cho mạng Internet
• Nó được hỗ trợ bởi các mào đầu mở rộng
• Nó dựa trên 2 cơ chế: Mào đầu xác thực (AH) Dữ liệu an toàn đóng gói (ESP)
• AH và ESP có thể sử dụng riêng hoặc kết hợp với nhau, cung cấp an toàn cho dữ liệu.
2.2.3. Các giao thức an toàn trong IPV6
2.2.3.1 Giao thức màođầu xác thực (AH)
Mào đầu xác thực IP (AH) thường dùng để cung cấp toàn vẹn phi kết nối, xác thực dữ liệu gốc cho các dữ liệu IP (ở đây chỉ đề cập tới vấn đề xác thực) và bảo vệ chống lặp. Bộ thu có thể chọn các dịch vụ không bắt buộc khi một SA được thiết lập. AH cung cấp xác thực cho nhiều mào đầu IP đến mức có thể, như là cho dữ liệu giao thức tầng cao hơn. Tuy nhiên, một vài trường mào đầu IP có thể thay đổi khi truyền và bộ phát không dự đoán giá trị của các trường khi bộ thu nhận gói tin. AH không bảo vệ
giá trị của các trường như vậy. Do đó việc bảo vệ mào đầu IP do AH cung cấp là theo từng phần.
AH có thể áp dụng riêng, hay kết hợp với dữ liệu an toàn đóng gói IP (ESP), hay lồng nhau bằng việc sử dụng chế độ đường hầm. Các dịch vụ an toàn có thể cung cấp giữa hai trạm, hai gateway an toàn, hoặc có thể giữa một trạm và một gateway an toàn. ESP có thể dùng để cung cấp các dịch vụ tương tự, và nó cũng cung cấp dịch vụ bảo mật (mã hoá). Điểm khác biệt chính giữa việc xác thực giữa AH và ESP là phạm vi thực hiện, ESP không bảo vệ các trường mào đầu IP, trừ khi các trường đó được đóng gói bằng ESP (trong chế độ đường hầm).
a) Định dạng mào đầu xác thực