2.3. Bảo mật trong IPv6
2.3.3.4. Mã hóa trong IPv6
Trong IPv6 header mở rộng Encrypted Security Payload (ESP) cung cấp tính tịan vẹn và bảo mật cho mọi dữ liệu truyền giữa hai đầu trong một gói IP. Nói cách khác trong một chuỗi header mở rộng, ESP có vị trí trước luồng vận chuyển (TCP/UDP), điều khiển mạng (ICMP), giao thức định tuyến (OSPF).
Hình 2.7. ESP header
ESP bao gồm các thành phần sau:
+ Security Parameter Index (4bytes): chỉ ra thuật toán nào được sử dụng để mã hóa.
+ Sequence Number (4bytes): ngăn chặn sự tấn công trở lại với giới hạn mà kết nối sử dụng nhiều hơn 232 gói tin thì dễ bị tấn cơng. Bên nhận phải có khả năng xắp xếp lại bởi vì IPv6 khơng đảm bảo truyền đúng thứ tự gói tin.
+ Payload Data (có chiều dài thay đổi): chứa dữ liệu được mã hóa mơ tả bởi trường Next Header cũng như vecto khởi tạo mã hóa được yêu cầu bởi cơ chế mã hóa.
Khơng có trường Next Header cụ thể trong một header ESP. ESP mang sự xác minh của tải theo một dấu nhất định để cho phép q trình xử lý thích hợp của phần tải.
ESP chia làm hai phần ;
- Một Header mang thông tin quan trọng cho quá trình xử lý và kiểm tra của mã hóa SA ở bên thu.
- Thơng tin bổ xung theo:
+ Thêm vào hàm 64 bit theo tiêu chuẩn cùng với chiều dài đệm thực tế trong byte
+ Chỉ dẫn của kiểu Next Header ( TCP ) cho phép xử lý hơn nữa ở bên thu
Xác thực dữ liệu như là trong AH để bảo vệ dữ liệu mã hoá và chuỗi số trong Header ESP.
IPv6 sử dụng giải thuật DES-CBC.Trường tham số mã hóa ESP chứa chiều dài biến ngẫu nhiên véctơ khởi tạo cần thiết cho hoạt động của DES, vecto được chỉ rõ trong SA tương ứng được xác định bởi DPI.
DES thì thích hợp để sử dụng, được biết tới bởi giải thuật mã hóa cân bằng nhưng hiện nay bị thay thế bởi thuật tốn AES. DES sử dụng một chìa khóa 56 bit, ngồi ra sử dụng 8 bit để kiểm tra chẵn lẻ.
Chế độ CBC chỉ ra trong thời gian mã hóa một khối dữ liệu, một số đặc tính kiểm tra từ khối dữ liệu trước đó được dùng trong qúa trình mã hóa, do đó chặn sự tấn cơng vào khối dữ liệu được mã hóa.