1. Nội dung thiết kế tốt nghiệp:
2.1.1.Các tính năng bảo mật
Khác với Ipv4, giao thức an toàn IP (Ipsec) được thiết kế sẵn trong giao thức Ipv6. Đây chính là một điểm khác biệt rất lớn giữa Ipv4 và Ipv6 trong việc cung cấp các dịch vụ an toàn.
Định dạng của mào đầu gói tin Ipv6 đã thay đổi để xác thực gói tin trong phiên làm việc. Điều này có nghĩa là các gói tin sẽkhôoong thể bị làm giả. Khi tất cả các máy chủ Internet đều sử dụng Ipv6, các máy trạm cũng chỉ sử dụng các phần mềm và phần cứng Ipv6, thì gói tin truyền trên mạng sẽ phải được xác thực bởi tất cả các trạm mà nó đi qua trên đường truyền. Điều này là một vấn đề khó khăn cho bất kỳ ai cố gắng làm giả gói tin bởi vì họ phải khởi tạo một số tuần tự xác thực với máy chủ đầu tiên mà họ kết nối vào trước khi được phép truyền gói tin tới các máy chủ Internet khác. Nhờ đó, các gói tin
sẽ kết thúc. Bởi vì nếu một người cố gắng thực hiện các cuộc tấn công từ chối dịch vụ thì việc tìm kiếm dấu vết sẽ dễ dàng hơn nhiều do các thông tin xác thực có trong mào đầu của gói tin Ipv6. Điều này sẽ làm các tin tặc hạn chế các cuộc tấn công do lo ngại bị pháp luật xử lý.
Bên cạnh khả năng xác thực các gói tin, Ipv6 cung cấp khả năng đảm bảo tính bí mật của dữ liệu bằng việc sử dụng các thuật toán mã hóa mạnh như 3DES qua cơ chế an toàn đóng gói dữ liệu (ESP). Các khóa dùng cho việc xác thực, mã hóa của các cơ chế AH và ESP được trao đổi thông qua giao thức trao đổi khóa Internet (Internet Key Exchange – IKE) nên có được mức độ an toàn rất cao. Về cơ bản, mỗi địa chỉ IP sẽ có khóa bí mật củ nó cho phép chỉ những địa chỉ xác định mới có thể giải mã gói tin của nó. Thậm chí nếu việc cướp đường xảy ra trên Ipv6, những dữ liệu trao đổi cũng không thể đọc được (giả thiết rằng không có sai lầm trong thuật toán mã hóa).
Lý do mà việc cướp đường không xảy ra trong mạng Ipv6 là nếu dữ liệu cần được định tuyến lại tới một địa chỉ IP khác trong một phiên làm việc thic cần phải xác thực lại địa chỉ IP mới với cùng mào đầu xác thực (giống như tạo mới) được sử dụng để tạo ra kết nối ban đầu. Từ đó, phiên làm việc với tin tặc sẽ hủy từ phía máy chủ do các tin tặc hầu như không biết được mào đầu xác thực này.
Tính năng bảo mật Ipv6 được sử dụng bởi 2 headermào đầu mở rộng chuyên biệt Authentication Header (AH) và Encrypted Security Payload (ESP).
AH được thiết kế để đảm bảo tính chân thực và toàn vẹn của gói tin IP. No bảo vệ chống lại hai loại tấn công: Điều chỉnh bất hợp pháp các trường cố định và sẹ gỉ mạo gói tin (packet spoofing). Header ESP cung cấp việc mã hóa dữ liệu với việc mã hóa để đảm bảo rằng chỉ có node đích mới có thể đọc phần dữ liệu thực tế được truyền bởi gói tin IP. Hai headermào đầu có thể được sử dụng cùng với nhau để cung cấp tất cả các tính năng bảo mật một cách đồng thời.
Cả hai headermào đầu AH và ESP đều khai thác nội dung của sự kết hợp bảo mật Security Asociation (SA) để đồng ý giữa hai (hoặc nhiều) node về các thuật toán bảo mật va các tham số liên quan được sử dụng trong quá trình chuyển đổi gói tin giữa bên gửi và bên nhận. Chỉ số tham số bảo mật Security Parameters Index (SPI) là một tham số
được chứa đựng trong cả AH và ESP để xác định SA nào được sử dụng trong việc giải mã và hoặc nhận gói tin. Như vậy mỗi SA được nhận dạng bởi một SPI.
Trong việc truyền dẫn Unicast, SPI thường lựa chọn bởi node đích và được gửi trở lại nơi gửi lúc truyền tin được thiết lập.
Trong truyền dẫn Multicast, SPI phải là chung co tất cả thành viên của nhóm multicast. Mỗi node phải có khả năng nhận dạng SA đúng bằng việc kết nối SPI với địa chỉ multicast. Việc thỏa thuận của một SA (và SPI liên quan) là một phần của giao thức cho việc chuyển đổi các khóa bảo mật.